До сих пор некоторые владельцы сайтов, оглядываясь на лицензию, нет-нет да спрашивают: "А может не надо?..." Что ответить на это? "Надо, Федя..... Надо!"
Еще по весне этого года волной прокатился массовый взлом сайтов, работа которых была построена на основе CMS 1C-Bitrix. В фокус внимания этих атак попали самые разные ресурсы - от гос.сайтов до обычных визиток, казалось бы небольших компаний, чем-то привлёкших внимание злоумышленников.
Процедура взлома состояла из двух частей:
- Загрузка вредоносного кода в файлы сайта.
- Добавление на главную страницу сайта противоправного контента.
Читать (мягко говоря) нелицеприятный текст на своей главной странице — то еще "удовольствие", но с такой проблемой можно быстро справиться, так как визуально сразу заметно. Но вовремя отследить подлом, если найдена "дырка в безопасности" платформы, уже гораздо сложнее. Можно, конечно, поднять тотальное журналирование всех операций на сайте, но на это мало кто готов, т.к. за место под это тоже надо платить.
Это было не далее как в мае, и с проблемами каждый справлялся как мог — были это большей частью "личные" заботы владельца сайта. Но всё меняется, и сегодня такие "ломаные" ресурсы могут получить блокировку по IP адресу со стороны Роскомнадзора.
ВАЖНО: Если сайт сайт с уязвимостями выявлен и вам направлено предупреждение, то ресурс будет заблокирован через одну неделю после оповещения, если уязвимость не будет устранена за данный период времени! И снять блокировку будет гораздо затратнее (прежде всего по времени), чем проблему устранить.
А посему, если вы используете глубоко уважаемую нами CMS "1С-Битрикс: Управление сайтом", мы настоятельно рекомендуем предпринять следующие меры:
- Связаться со специалистами web-разработки, которые могут провести аудит сайта на предмет обнаружения вредоносной активности с целью проверки всего ресурса.
- Обновить версию CMS минимум до 22.0.400, в которой разработчик уже исправил найденные на данный момент уязвимости.
- Либо (если такой вариант по какой-то причине не подходит, и причина должна быть ОЧЕНЬ веская) заменить файлы CMS, через которые произошел взлом, на оригинальные, из "чистого" дистрибутива используемой Вами версии CMS.
До устранения протечки по уязвимостям с начала этого года проблемы могли возникнуть в следующих функциональных блоках CMS:
- deface - дефейс сайта ("...взломано ...)
- vuln_htmleditor - уязвимость в модуле "Визуальный редактор" (/bitrix/tools/html_editor_action.php)
- vuln_vote - уязвимость в модуле "Vote" (CVE-2022-27228) (/bitrix/tools/vote/uf.php)
- webshell_spread - вебшелл (/bitrix/tools/spread.php)
- webshell_bxroot - вебшелл (/bitrix/modules/main/bx_root.php)
- webshell_prologafter - вебшелл (/bitrix/modules/main/include/prolog.php)
- webshell_maininput - вебшелл (/bitrix/components/bitrix/main.file.input/main.php)
- webshell_virtualroutes - вебшелл (/bitrix/virtual_routes.php)
- webshell_micat - новый вебшелл. Файл размещается по пути: /bitrix/modules/main/include/prolog.php
- keylogger_sesslog - модификация файла панели управления
Актуальные обновления CMS 1С-Bitrix становятся на актуальное же Битрикс-окружение. Что это значит? — операционная система и остальные инструменты (подсистемы) на сервере, где размещен ваш сайт тоже должны быть свежих версий и содержать все необходимые доработки по безопасности. Например, требования по версии PHP на сегодня для платформы — не ниже v 8.1.
CMS со своей стороны даёт очень точную диагностику состояния ресурса и рекомендации, в случае обнаружения ошибок или предупреждений. Например так:
И так:
И специалист с квалификацией разработчика 1С-Битрикс точно знает что с этим делать.
Потому, уважаемые, держите свои сайты свежими, опрятными и чистыми от недобрых включений, заботливыми для ваших клиентов и надежно защищенными от внешних угроз.