Не успели отойти от вируса 2022 года, вновь появился новый вирус 2023 года. Данную статью пишу для +- понимания где и что искать, но у всех сайтов могут быть разные папки, в разных местах и тд. но суть одна и та же.
Измененные файлы вирус меняет права, что бы вы не могли их изменить, верные права: 755 - папки, 644 - файлы
По всем папкам сайта разносит файлы .htaccess , с информацией (но может немного отличаться):
<FilesMatch '.(py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch '^(index.php|inputs.php|adminfuns.php|chtmlfuns.php|cjfuns.php|classsmtps.php|classfuns.php|comfunctions.php|comdofuns.php|connects.php|copypaths.php|delpaths.php|doiconvs.php|epinyins.php|filefuns.php|gdftps.php|hinfofuns.php|hplfuns.php|memberfuns.php|moddofuns.php|onclickfuns.php|phpzipincs.php|qfunctions.php|qinfofuns.php|schallfuns.php|tempfuns.php|userfuns.php|siteheads.php|termps.php|txets.php|thoms.php|postnews.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$'>
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
Как вы видите в файле большой список ТЕХ файлов которые могут быть на вашем сайте с вредоносным кодом. Но не все, видимо все зависит от срока заражения сайта.
Расположением .htaccess файлов может быть как везде, так и в некоторых папках, по наблюдениям это зависит от времени обнаружения вируса. В моем случае у клиента было 17т+ файлов, в каждой папке по 1шт, я написал в ТП хостинга для удаления всех файлов с подобным содержанием. Если же техническая поддержка не может, либо у вас сервер, зайдите в консоль SSH и введите команду:
find . -type f -perm 0444 -name ".htaccess" -delete;
Так как все созданные файлы имеют права 0444 , то удалятся только вирусные.
Кстати, некоторые страницы в административной части могут не работать, так как главный файл .htaccess в корне сайта тоже подвергся изменениям и его нужно восстановить. Содержимое файла по стандарту, можете взять по ссылке: https://dev.1c-bitrix.ru/learning/course/index.php?COURSE_ID=32&LESSON_ID=3295
...
По моим наблюдениям вирус создает папки (они могут отличаться у каждого сайта) и с файлами внутри похожие на некие статьи про Россию и тд., полностью папку удаляйте.
Так же вирус создает файлы и папки подобным названием s3fa2tt3s (то есть белиберда), смело удаляйте.
Удаляем кеш в папке /bitrix/managed_cache/ там у нас папка MYSQL, нужно удалить, так как вирус может сохраниться там.
Само собой и весь кеш сайта тоже удаляем, переходим в "Настройки - Настройки продукта - Автокеширование", во вкладку "Очистка файлов кеша", выбираем "Все" и нажимаем на кнопку "Начать", у некоторых сайтов удаление происходит быстро, но бывает и долго. Дожидаемся до полного очищения.
У нескольких сайтов были размещены по папкам соответственно файл .htaccess с содержимым что писал выше и php файл inputs.php , данный файл содержит вредоносный код, удаляем его.
Заражается файлик \bitrix\modules\main\bx_root.php , заходим в него, удаляем вредоносный код, должно быть только это:
<?
define("BX_ROOT", "/bitrix");
if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
define("BX_PERSONAL_ROOT", BX_ROOT);
Встречаются файлы php и папки с названием wp_**** (название разное но начало wp_), удаляем.
Так же нужно проверить Агентов в административной части сайта "Настройки - Настройки продукта - Агенты", из другой статьи, говорят что могут еще и агента создать, но в моей практике такого не наблюдал, если есть удаляем.
Я написал все свои наблюдения, если у вас будет что то иное, напишите, пожалуйста, в комментариях. Мой Вам совет, установить бесплатное решение Bitrix xscan: https://marketplace.1c-bitrix.ru/solutions/bitrix.xscan/
С недавних пор 1С-Битрикс внедрили даже в самой ранней редакции "Старт" модуль "Проактивная защита" где есть данный сканер и более сильная защита, по этому данный сканер больше нельзя скачать, я прикрепляю ссылку на яндекс облако для более старых версий: https://disk.yandex.ru/d/uGxoBWq3s_sFEQ
Просканируйте им сайт и удалите зараженные файлы. Так же если имеется резервная копия на сайте того времени когда сайт не был заражен, лучше восстановить. И после восстановления удалите модуль:
- /bitrix/modules/vote/
- /bitrix/tools/vote/
На данное время он имеет уязвимость.
А так же если имеется лицензия у битрикса, обновите сам битрикс до последней версии и смените версию php на 7.4+
