Как очистить сайт от вирусов. Новые трояны на Битрикс в 2024 году

В 2024 году на платформе Битрикс разразилась новая волна атак, которые затронули множество сайтов. Мы, команда Likeit.pro, столкнулись с ситуацией, когда три сайта, размещённые на одной виртуальной машине и не имеющие резервных копий, были заражены. В этой статье мы расскажем о том, как нам удалось восстановить эти сайты и какие уроки мы извлекли из этого опыта.

Наша компания поможет вам с выбором технологии для вашего проекта.

Читать другие статьи

Признаки заражения и причины

Сначала на наших сайтах начали наблюдаться странные явления: новости и блоги перестали открываться, страницы стали пустыми или отображали только шаблоны. В конечном итоге, только главная страница и админка оставались доступными. Основной причиной заражения оказался сайт, который давно не обновлялся и, вероятно, был атакован через старые уязвимости.

Важный совет: Если на одной виртуальной машине размещено несколько сайтов, убедитесь, что все они обновлены. В противном случае, уязвимость одного сайта может привести к заражению всех ресурсов на этом сервере.

Как проявляются вредоносные вирусы

Вредоносные программы на Битрикс могут проявляться различными способами. Вот несколько ключевых признаков:

• Изменение файлов: Файл .htaccess и начало файла index.php заменяются на вредоносный код.
• Автоматическое восстановление: При попытке изменений файлы .htaccess и index.php немедленно перезаписываются.
• Блокировка доступа: В директориях заражённого сайта появляются новые файлы .htaccess, блокирующие доступ через браузер.
• Создание вредоносных файлов: В директориях создаются файлы с случайными именами и вредоносным кодом.

Этапы восстановления сайтов

Восстановление сайтов потребовало комплексного подхода. Вот шаги, которые мы предприняли для очистки и восстановления:

1. Закрытие сайтов от внешнего доступа: Сначала необходимо было закрыть сайты от внешнего доступа. Мы удалили все файлы .htaccess, чтобы вернуть доступ к директориям. Для этого использовали команду в терминале:
   bashКопировать кодfind . -type f -perm 0444 -name ".htaccess" -exec echo rm {} \;Эта команда выводит пути всех файлов .htaccess. После проверки удаляем файлы, убрав echo из команды.
2. Проверка админки: Доступ к админке мог быть частично ограничен или полностью недоступен. Мы вошли в раздел "Агенты" и обнаружили подозрительный агент с зашифрованным кодом. Удаление этого агента через API Битрикс помогло устранить проблему с постоянным обновлением вредоносного кода.
3. Замена файлов и перезагрузка сервера: Основной файл .htaccess и вредоносный код в index.php пришлось заменять вручную. Также мы перезагрузили сервер, чтобы остановить фоновую задачу, которая продолжала зацикленно выполняться даже после удаления вредоносного агента.
4. Поиск и удаление троянов: Мы установили модуль для поиска троянов, такой как Bitrix.xScan, и провели полное сканирование сайтов. Это помогло выявить и удалить все подозрительные файлы и очистить вредоносный код.
5. Тестирование и запуск: После завершения очистки важно было тщательно протестировать сайты, чтобы убедиться в их работоспособности. Мы проверили все функции и элементы сайта перед его повторным запуском.

Итог

Процесс восстановления занял около 10 часов, что эквивалентно 500 белорусским рублям. Однако, дело не только в затратах. Если бы вирус был более серьёзным, мы могли бы потерять проекты или столкнуться с более сложной ситуацией восстановления функционала.

Как избежать подобных ситуаций

1. Регулярное обновление: Обновляйте систему Битрикс и модули. Устаревшее ПО — это потенциальные уязвимости.
2. Резервное копирование: Настройте автоматическое резервное копирование всех ресурсов. Это позволит вам быстро восстановить сайт в случае атаки.
3. Проактивная защита: Используйте проактивные модули безопасности для мониторинга и защиты от угроз.

Заключение

Мы рекомендуем всем владельцам сайтов на Битрикс не игнорировать обновления и регулярно проверять безопасность своих ресурсов. Правильные меры защиты и резервное копирование помогут вам избежать серьёзных проблем и минимизировать риски. Если вы не уверены в своих силах или не знаете, как правильно настроить безопасность, обращайтесь за помощью к профессионалам.

Команда Likeit.pro всегда готова помочь вам с разработкой, безопасностью и поддержкой сайтов на платформе Битрикс. Не забывайте о важности профилактических мер и будьте уверены в защите вашего проекта!

Если у вас есть задача по разработке сайта, SEO продвижению, технической поддержке, внедрению CRM, разработке мобильного приложения, то напишите в Телеграм https://t.me/likeitpro или на сайте https://likeit.pro/, мы это обсудим: