06.02.2025 были взломаны миллионы сайтов Битрикс с шаблонами АСПРО. И это касается не только АСПРО. Поэтому возникает вопрос. Есть ли претензии к АСПРО?
Да, есть вероятность, что это полностью вина разработчиков Битрикс.
К слову сказать ребята подготовились и выпустили патч, который исправляет ошибку разработчиков. И инструкцию выпустили какие файлы заражены и что с этим делать.
Молодцы, хоть здесь не опозорились.
И казалось бы на этом история закончилась. Но не тут то было....
Не проблема, забираем патч и запускаем на сайте.
И после применения всех рекомендаций, идем включаем антивирус от Битрикса. Но! как выясняется это не помогает. Видите ли Антивирус не видит в папках uploads файлы index.php. Не странно ли? Ведь в них кроме jpeg вообще ничего не должно больше находиться. Как я нашла? Да очень просто. В корне сайта постоянно создается файл eyf.txt
Откуда он там берется? Чтобы с этим разобраться. Скачиваем весь сайт на локальный диск и ищем (Krusader нам в помощь), а всего лишь ищем: file_put_contents во всех файлах сайта.
И о чудо:
Интересно, откуда в каталогах uploads взялись index.php
И самое главное, почему Антивирус от Битрикс молчит как партизан?
Модифицированные файлы можно легко найти по дате изменения.
Создается папка 75555.
В каталоге ajax создается каталог ajax его сразу удалить.
Но это еще не всё, если в каталоге basket вложен каталог basket, смело удаляем.
И к огромному сожалению, каталоги так и будут создаваться пока не будет найден корень зла: В каталоге form, создался каталог form. Его сносим.
К слову все зараженные каталоги создаются с содержимым:
htaccess cache index и под каталогом с названием родителя
Но это не конец. У нас копия сайта в локальном хранилище, но там почему то файлы не модифицируются и каталоги не создаются от будущей даты. Удивительно! Искать надо доскональнее, надеюсь разработчики Битрикс в ближайшее время выпустят патч, который все таки найдет корень зла...
07.03.2025
Желаю, всем вылечиться.