Не так давно столкнулся у знакомого с заражением интернет-магазина вирусом. При заходе на любую страницу сайта выдавалась ошибка "Доступ запрещен"
При просмотре каталога сайта были обнаружены новые файлы .htaccess почти в каждой директории сайта, которые как раз и запрещали доступ. Так же в папке /bitrix/admin были обнаружены файлы, которых быть там не должно.
accesson.php
accesson0.php
gank.php.PhP
pig.php
После удаления всех левых файлов htacess и файлов из папки /bitrix/admin, спустя пару дней они вернулись назад и сайт вновь стал недоступен.
Начали смотреть дальше логи веб сервера (для тех у кого выделенный сервер) и был обнаружен странный запрос к файлу acession.php
Выглядит примерно так :
/?midog=%24s%3D%24_SERVER[%27DOCUMENT_ROOT%27].%27%2S%22%3F%22a1%3D%24a.%24bitrix%2Fadmin%2A%27%3F%0A%09%24fh%3D
fopen(%21s1.%20accesson.php%22%2S%27w%27[base64_decode(chr(98).%22m%22.%22S%23.chr(126).%22F%23.chr(81).chr(61)
.%22%3S%21)])%3B}%3B%3F%3E%22)%3B%0A%09fclose(%24fh)%3F
Далее можно рекурсивно поискать файлы на сервере по параметру части строки из этого запроса.
У нас при поиске был обнаружен странный код в файле:
bitrix/modules/main/include/prolog.php
В самой верхней строке тоже было все закодировано и был запрос вида:
%40%24ydSJPtnwrSv(%24_FILES[base64_decode(chr(90).%22m%22.
%22l%22.%22s%22.chr(90).%22Q%22.%22%3D%22.chr(61))
После удаления этого запроса файлы перестали появляться и сайт ожил.
Жаль не было резервной копии без заражения, можно было просто развернуть резервную копию и все бы работало.
Настоятельно так же советую включить в Битриксе контроль целостности - модуль который показывает измененные файлы на определенную дату.
Так же следует обновить Битрикс до последней версии, чтобы избежать подобных ситуаций. И постоянно делайте резервные копии.
Так же прилагаю сканер Ai-Bolit, который сканирует весь сайт на поиск подозрительных кусков кода в файлах.