Вирусы Bitrix: диагностика и очистка сайта от вредоносных программ

В своих публикациях мы уже не раз касались темы безопасности сайтов на Битрикс. Это не удивительно, т.к. 1С-Битрикс остается самой популярной CMS у фирм, занимающихся интернет-торговлей, а Максиплейс является «рекомендуемым хостингом» 1С-Битрикс, что означает, что компания подтверждает нашу способность обеспечить высокую производительность и стабильность работы проектов.

В сегодняшней заметке мы сосредоточимся на теме вирусного заражения сайтов под Битрикс и том, как этого избегать и что делать, если код сайта все-таки оказался заражен. Эта тема, увы, достаточно актуальна, т.к. в последние годы владельцы сайтов и интернет-магазинов, работающих на CMS Битрикс, все чаще становятся жертвами массового заражения вирусами и взломами сайтов.

Причина массовости кроется в критической уязвимости, дающей злоумышленникам возможность загрузить вирусный код на сервер в старых версиях Битрикс (да-да, вспоминаем все, что мы писали о необходимости своевременных обновлений). Первая волна таких взломов прошла в середине 2022, сейчас же, судя по всему, можно наблюдать новый всплеск вредоносной активности. Поэтому давайте по горячим следам разбираться, как, если вы используете Битрикс, проверить на вирусы сайт и устранять проблемы такого плана.

Вирусы и их опасность для бизнеса

Под вирусом на сайте понимается определенный зашифрованный PHP, JavaScript-код, который размещается в коде страницы сайта. При его выполнении формируется так называемый iframe (HTML-элемент, позволяющий включить при отображении содержимое одной страницы в другую). Вставленный iframe указывает, как правило, на зараженную страницу, которая уже содержит более опасный код, использующий различные уязвимости браузеров для загрузки и запуска исполняемых файлов вирусов.

Вирусный взлом сайтов может преследовать несколько целей: монетизация на партнерских программ, подписка на sms, push-уведомления, рассылка спама, арбитраж трафика и т.д. Чтобы осознать всю серьезность проблем с вирусами, перечислим, чем заражение сайтов 1С-Битрикс может угрожать вашему бизнесу:

• Скорость работы сайта серьезно снижается, что замечают посетители и находит подтверждение в метриках; заказывать на нем товары и услуги становится долго и неудобно; рейтинг в поисковой выдаче начинает неуклонно снижаться. Может дойти до того, что сайт полностью утратит возможность обрабатывать запросы посетителей и продажи станут невозможными.
• При переходе между внутренними страницами сайта или нажатием каких-либо кнопок на нем происходит редирект на сайты злоумышленников (например, с фишинговой рекламой или криминальными товарами и услугами), что подрывает доверие к вашей фирме и даже может нарушать законодательство РФ;
• Компьютеры посетителей сайта также могут заразиться тем же же вирусом, что нанесет непоправимый ущерб вашей деловой репутации. Если же из-за вируса случится утечка персональных данных ваших клиентов, то не исключено, что вам также придется отвечать по закону.

Признаки заражения сайта на Битрикс

Кто находится в зоне риска? На сегодняшний момент наиболее подвержены заражению все не обновленные версии Битрикс, а также обновленные версии с незакрытыми уязвимостями. Однако расслабляться не следует никому. Заподозрить, что ваш сайт под 1С-Битрикс заражен можно по нескольким ключевым признакам:

• При посещении сайта стали происходить редиректы на посторонние сайты;
• Работа сайта серьезно замедлилась; периодически он становится недоступен пользователям;
• На сайте начинают открываться всплывающие окна, никак не связанные с вашей организацией;
• Произошла остановка всех ваших объявлений в контекстной рекламе Яндекс Директ без объяснения конкретных причин;
• В результатах поиска появляется сообщение «Сайт может быть опасен» или же сайт полностью перестает индексироваться поисковыми системамиа;
• Яндекс Вебмастер выдаст вам сообщение о заражении; он также может выдать переходы на страницы которых не должно быть на сайте;
• Ваш хостер рапортует об обнаружении вредоносного кода на вашем сайте.

«Изнутри» сисадмины могут заметить, что сайт заражен по следующим признакам:

• Произошла затирка главного файла .htaccess и в код главной страницы index.php в начало добавился вредоносный код;
• Если на сайте bitrix вирус - .htaccess больше не получится редактировать. То же самое касается index.php: попытки внести изменения приведут только к тому, что они снова будут затерты;
• Во все до единой директории сайта, подвергшегося заражению, были скопированы файлы .htaccess, блокирующие браузерный доступ к разделам сайта на сервере;
• В директориях сайта появились файлы со случайными названиями, содержание вирусный код.

Профилактика заражения вирусами сайтов на 1С-Битрикс

Каждый сайт, независимо от того, на какой CMS он работает, нуждается в профилактических мерах, чтобы не допускать заражения вирусами, и 1С-Битрикс не является исключением. Перечислим, что мы рекомендуем делать, чтобы избежать проблем с вирусным заражением.

• Следуйте советам сканера безопасности. Сканер безопасности — это служба мониторинга уязвимостей безопасности веб-сайтов. С помощью этого сканера можно проверить ресурс и выявить уязвимости в программной части и в настройках сервера, CMS и PHP. Сканер имеет два режима проверки: локальную и внешнюю (например, настройки сайта или исполнение php/python/perl/etc скриптов). Обратите внимание, что сканер безопасности имеет некоторые минимальные требования к системе: наличие расширения tokenizer, не менее 20 секунд max_execution_time и 256 МБ memory_limit.
• Настройте проактивный фильтр. Мощнейшим инструментом вашей защиты станет проактивная защита Битрикс. Это инструменты самой системы, которые доступны со «стандартной» версии Битрикса (в «Старте» их нет), некоторые требуют установки модуля «Веб-аналитика». Проактивный фильтр защищает от большинства известных атак, попытки которых фильтр заносит в журнал, и при необходимости сообщает сисадминам о попытках проникновения. Фильтр можно настроить таким образом, что он будет автоматически блокировать злоумышленника по IP-адресу.
• Установите веб-антивирус. Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта. Веб-антивирус уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.
• Подключите двухэтапную авторизацию. Еще одна мера по защите админки от взлома заключается в дополнительной аутентификации по коду, приходящему на телефон владельца сайта в виде SMS-сообщения или push-уведомления. В этом случае, даже если злоумышленник смог подобрать логин и пароль, вход в админку для него все равно будет заказан. Единственный недостаток 2FA состоит в том, что вы начинаете зависеть ее и от оператора сотовой связи и, если по какой-то причине на его стороне вам на мобильное устройство не будет приходить код, попасть в админку также будет проблематично. Кроме того, потеря или поломка sim-карты потребует ее перевыпуска для прохождения двухэтапной аутентификации.
• Настройте контроль активности. Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором.
• Не пренебрегайте ограничением хостов/доменов и и инструментом «Стоп-лист». Блокирует открытие сайта по адресам, которые отличаются от разрешенных вами. Это делается за счет проверки и запрета подмены HTTP-заголовка Host. Также обратите внимание на Стоп-лист» от 1С-Битрикс: этот инструмент дает возможность для блокировки посетителей по событиям или добавлять туда кого-то вручную по IP, маске сети и UserAgent (для этого нужен модуль «Веб-аналитика»).
• Не забывайте делать бэкапы. Создание резервных копий защитит вас от потери важнейших данных на сайте или даже всего сайта в результате чьих-либо действий. Обратившись в Максиплейс, вы получите не только лучший сервер для Битрикс, но и облачное резервное копирование Backup-as-a-Service, как услугу, которая многократно повысит защиту вашего бизнеса. В предыдущей статье мы писали как восстановить и сделать резервную копию.

Лечение сайта от вирусов bitrix: алгоритм

Если меры безопасности, описанные выше, не помогли и на сайт все же пробрался вирус, советуем воспользоваться алгоритмом, который с большой вероятностью поможет избавиться от проблем.

Шаг 1. Вначале изолируйте зараженный сайт от внешнего доступа и удалите все файлы .htaccess из директорий, восстановив таким образом доступ к ним. Делается это через терминал с помощью следующей команды:

find . -type f -perm 0444 -name ".htaccess" -exec echo rm {} \;

Выполнив ее, вы выведете все пути файлов .htaccess в актуальной директории и всех ее вложениях. После этого удалите из команды «echo» и выполните ее снова — файлы .htaccess, которых может обнаружиться до нескольких тысяч, будут удалены.

Шаг 2. Попробуйте открыть административную панель сайта. Если вход возможен, перейдите в раздел («Настройки»->«Настройки продукта»->)«Агенты» и удалите агент с подозрительным кодом (как правило его можно опознать по зашифрованным командам, длинной в несколько строк). Этот вредоносный агент как раз и отвечает за то, чтобы постоянно обновлять файлы главной страницы и .htaccess на главной. Правильное удаление возможно по api bitrix; этот нестатистический метод удаляет функцию-агент из таблицы зарегистрированных агентов.

CAgent::Delete(

int id

)

Шаг 3. Проверьте и попробуйте заменить основной файл .htaccess на собственный. Если это не срабатывает и файл все равно перезаписывается, нужно проверить, не запущена ли задача в фоновом режиме и не продолжает ли выполнять циклично даже после удаления агента на Шаге 2. Перезагрузите сервер и удалите вирусный код в начале файла index.php: теперь файл .htaccess должен перезаписываться нормально.

Шаг 4. Установите модуль поиска троянов и прогоните через него весь сайт. Инструмент «Поиск троянов» запускает скрипт, который сканирует сайт в поисках определенных шаблонов потенциально вредоносного кода и формирует список подозрительных файлов. Потенциально вредоносный код может быть как в отдельно созданных файлах, так и в модифицированных файлах сайта. Просмотрите все сомнительные файлы и удалите все, что мог создать вирус + убирайте вирусный код отовсюду, куда он внедрился. Здесь вам уже могут понадобиться базовые знания по работе с php и безопасности Битрикс, чтобы случайно не удалить файлы из ядра CMS. Поэтому мы советуем обращаться за этим к специалистам, например — инженерам Масиплейс.

Резюме

В этой публикации мы рассмотрели порядок лечения сайта на 1С-битрикс: удаление вируса в ряду случаев можно осуществить и собственными силами. Вообще 1С-Битрикс позволяет защитить свои сайты очень эффективным образом, но без достаточной грамотности или достаточного понимания необходимости такой защиты все возможности системы будут бесполезны.

В 2023 идеальный уровень защиты на корпоративном уровне — это собственный штат информационной безопасности или хотя бы опытный специалист, который только этим и будет заниматься. Если у вас нет возможности содержать его в штате, то до определённого уровня помочь сможет грамотный хостер.

Техподдержка Максиплейс своевременно реагирует на возникающие у пользователей проблемы, а на более высоких уровнях услуги сама осуществляет администрирование вашей системы. Кроме того, мы бесплатно защищаем сайты наших клиентов от угроз со стороны DDoS-а и зловредных ботов, а за дополнительную плату подключаем дополнительные уровни безопасности.

Также в нашей компании вы сможете получить не только квалифицированную поддержку, но и тщательно оптимизированный, преднастроенный и полностью готовый к работе сервер в облаке MaxiPlace, заточенный под Битрикс.