Найти в Дзене
Pavel Vladimirovich
3 подписчика

1С Битрикс вирус

83
2 мин
Всем, Привет! Мини статейка, надеюсь будет кому-нибудь полезна!)
И буду рад комментариям специалистов в этой области (если поправите меня или дополните)!
Делал не за один день (как раз были праздники) - поэтому мог что то подзабыть. По работе приходится работать с сайтами на разных CMS. Но почему то так получается, что вирусы в основном обнаруживаются на 1С Битрикс системах. Обычно просто файлы в каталоге сайта меняются, добавляются, но этот взлом, для меня, оказался чем то новеньким.
Данные:
Выделенный сервер.
Ubuntu-16.04,
Php 7.2, режим работы CGI.
Очередная проблема клиента - не открывается страница админки - пишет ошибку - нет достаточных прав для доступа к такому то и такому то файлу (скрины к сожалению не делал). Просканировал серверным антивирусом ImunifyAV (ex. Revisium) - тот выдал 26 зараженных файлов!
Вирусные файлы оказались в cgi-bin каталоге - поторопился, удалил, даже не посмотрев(.
Файлы htaccess вот с таким содержанием в каждом каталоге первого уровня и дочерних (1г

Всем, Привет!

Мини статейка, надеюсь будет кому-нибудь полезна!)
И буду рад комментариям специалистов в этой области (если поправите меня или дополните)!
Делал не за один день (как раз были праздники) - поэтому мог что то подзабыть.

По работе приходится работать с сайтами на разных CMS. Но почему то так получается, что вирусы в основном обнаруживаются на 1С Битрикс системах. Обычно просто файлы в каталоге сайта меняются, добавляются, но этот взлом, для меня, оказался чем то новеньким.
Данные:
Выделенный сервер.
Ubuntu-16.04,
Php 7.2, режим работы CGI.

Очередная проблема клиента - не открывается страница админки - пишет ошибку - нет достаточных прав для доступа к такому то и такому то файлу (скрины к сожалению не делал). Просканировал серверным антивирусом ImunifyAV (ex. Revisium) - тот выдал 26 зараженных файлов!
Вирусные файлы оказались в cgi-bin каталоге - поторопился, удалил, даже не посмотрев(.
Файлы htaccess вот с таким содержанием в каждом каталоге первого уровня и дочерних (1го уровня).

-2

Ладно, это все почистил, поудалял код встроенный в bitrix/prolog и т.п.
НО два файла в bitrix/admin - .htaccess и index.php не хотели удаляться)
их удаляешь а они появляются да еще и с правами 444.

вот такой аксес в админке, 5 строка очень длинная там всякие разные файлы перечислены
вот такой аксес в админке, 5 строка очень длинная там всякие разные файлы перечислены

В htaccess -ах не разбираюсь, но насколько понимаю содержание - это разрешение для файлов (кто знает - поправьте плиз).
Ну, а индексный файл, конечно же, содержал очень сложный для понимания код. Кто хоть раз видел вирусные файлы - понимает.

Просканировав еще раз антивирусом - он выдал только эти два файла.
Понятно что какой то процесс добавляет эти файлы.
Начал гуглить как выяснить какой процесс и вообще какие утилиты использовать.
В итоге сначала посмотрел процессы с помощью ps (встроенной утилиты).

ps -efH

И нашел интересный процесс запущенный пользователем этого домена, датой предполагаемой поломки сайта:

php -f /var/www/...пользователь.../data/www/...домен.../httpd.conf

Посмотрел в каталоге - такого файла нет, погуглил - это файл для апача, устаревший подход. Подумал что можно попробовать остановить процесс.
Установил утилиту htop

sudo apt install htop

Посмотрел процессы с ее помощью (намного удобней чем ps), командой:

htop

И убил этот процесс F9 ->SIGKILL
Сразу же проверил результат - админка работает, файлы удалились (изменились). Всё вроде ГУУД!
Как эта команда (php -f /var/www/...пользователь.../data/www/...домен.../httpd.conf) воздействовала - для меня осталось загадкой - кто шарит, прошу подсказать.

Ну и всё на этом, спасибо за внимание!)