Восстановление сайта на платформе «1С-Битрикс» и решении «Аспро». Пошаговый разбор — от ошибки 403 до чистки вредоносных файлов. Настраиваем комплексную защиту от повторных взломов.
Разбираем кейс восстановления сайта на «1С-Битрикс» в редакции «Стандарт» после атаки злоумышленников на сайт студии дизайна интерьера. Рассказываем, как вернули работоспособность сайта, сохранив базу данных и весь функционал.
Ошибка 403 и другие признаки взлома в результате анализа
Сайт при загрузке выдавал ошибку 403, не работал доступ в панель администрирования «1С-Битрикс» (также ошибка 403). С такими исходными данными обратился клиент. Решать задачу по восстановлению сайта мы начали с первичного аудита. Сначала подключились к серверу по ssh.
При проверке папок в корне сайта нашли подозрительные папки и файлы, в том числе:
/home/bitrix/www/2f5b5
/home/bitrix/www/3c580
/home/bitrix/www/4d4e1
/home/bitrix/www/6ad32
/home/bitrix/www/7dc2e
/home/bitrix/www/66b66
/home/bitrix/www/86f48
/home/bitrix/www/4859a
/home/bitrix/www/a314f
В типовой структуре папок сайта на решении Аспро не бывает папок с именами «2f5b5», «3c580» и прочими. Мы знаем, какие папки должны быть, так как по каждому проекту создаём файл структуры сайта со всеми разделами.
Новый сервер: перенос данных
Даже если починить старый сервер, можно пропустить вредоносные файлы или код и они останутся на сервере. Сайт снова может сломаться. Например, на сервере может быть настроен агент на запуск вредоносного кода. Также вредоносный код может быть запущен при работе инфицированного штатного файла.
Итак, вот наши действия для восстановления сайта:
- Зарегистрировали новый сервер сайта Таймвеб на операционной системе CentOS 9 с виртуальной машиной BitrixVM 9 с аналогичной предыдущему серверу «железной» конфигурацией (процессор, диск, ОЗУ). Был использован хостинг сайта Таймвеб.
- Создали пулл серверов в виртуальной машине BitrixVM 9.
- Установили обновления на новый сервер и перенесли на него все файлы со старого через утилиту rsync и командную строку.
- На оба сервера установили новые пароли на MySQL для пользователей root и bitrix. Для пользователей сервера с тем же именем также создали новые пароли.
- Исправили конфигурационные файлы:
/home/bitrix/www/bitrix/.settings.php
/home/bitrix/www/bitrix/php_interface/dbconn.php
/home/bitrix/www/bitrix/php_interface/after_connect_d7.php
/home/bitrix/www/.htaccess
После этого создали дампы базы данных MySQL на старом сервере и скопировали их на новый сервер. Пришлось создать несколько дампов, так как не было полного понимания, какой именно дамп потребуется, хоть он и указан в файле settings.php. Однако, второй дамп тоже мог быть использован. Поэтому скопированы оба дампа, а восстановлен один.
Дамп баз данных dbtest из файла mysql_dump_dbtest.sql восстановлен в базу данных sitemanager:
mysql -u root sitemanager < mysql_dump_dbtest.sql
Исправили кодировку базы данных на utf8mb4_0900_ai_ci в файлах:
/home/bitrix/www/bitrix/php_interface/dbconn.php
/home/bitrix/www/bitrix/php_interface/after_connect_d7.php
Выполнение проверок и настроек
После переноса данных настроили выполнение агентов на cron и почтовый сервер на postfix. Удалили служебные файлы. Выполнили проверку платформы. Затем проверили базы данных и оптимизировали их.
Настроили права на файлы и папки сайта:
chown -R bitrix:bitrix /home/bitrix/www/ && cd /home/bitrix/www/ && find . -type d -exec chmod 755 {} \; && find . -type f -exec chmod 644 {} \;
Это необходимо для правильной работы платформы «1С-Битрикс». Для пользователя bitrix группы пользователей bitrix должны быть установлены доступы на все файлы и папки, а также установлены наборы прав 755 и 644 на папки и файлы соответственно.
Выполнили проверки прав доступа и производительности.
Для решения «Аспро: Корпоративный сайт 3.0» и платформы «1С-Битрикс» восстановили файлы:
/home/bitrix/www/bitrix/header.php
/home/bitrix/www/index.php
Устранение подозрительных файлов и уязвимостей
Позже в процессе работы проверили всю структуру файлов и папок. Сразу при обнаружении удаляли все лишние папки и файлы.
Ниже представлен их полный список:
/home/bitrix/www/2f5b5
/home/bitrix/www/2f5b5/index.php
/home/bitrix/www/3c580
/home/bitrix/www/3c580/index.php
/home/bitrix/www/4d4e1
/home/bitrix/www/4d4e1/index.php
/home/bitrix/www/6ad32
/home/bitrix/www/7dc2e
/home/bitrix/www/7dc2e/classwithtostring.php
/home/bitrix/www/66b66
/home/bitrix/www/66b66/index.php
/home/bitrix/www/86f48
/home/bitrix/www/86f48/index.php
/home/bitrix/www/4859a
/home/bitrix/www/4859a/index.php
/home/bitrix/www/a314f
/home/bitrix/www/c0168/index.php
/home/bitrix/www/c0168
/home/bitrix/www/f6e08/index.php
/home/bitrix/www/f6e08
/home/bitrix/www/.htaccess
/home/bitrix/www/wp-content
/home/bitrix/www/wp-content/07f
/home/bitrix/www/wp-content/bd2
/home/bitrix/www/wp-content/doge.gif
/home/bitrix/www/wp-content/license.txt
/home/bitrix/www/wp-content/wp-configs.php
/home/bitrix/www/wp-includes
/home/bitrix/www/wp-includes/item.php
/home/bitrix/www/wp-includes/networks.php
/home/bitrix/www/wp-includes/wp-log1n.php
/home/bitrix/www/defaults.php
/home/bitrix/www/index.php0
/home/bitrix/www/product.php
/home/bitrix/www/options.php
/home/bitrix/www/search.php
/home/bitrix/www/assets
/home/bitrix/www/assets/images
/home/bitrix/www/assets/mah.php
/home/bitrix/www/assets/r.php
/home/bitrix/www/assets/shop.php
/home/bitrix/www/include/wp-conflg.php
/home/bitrix/www/include/mainpage/memberfuns.php
/home/bitrix/www/include/mainpage/b230fc091d43.php
Загрузили на сайт скрипт проверки уязвимостей от Аспро и запустили его — файлы исправлены:
Проверено файлов: 6562
Потенциально небезопасных файлов: 18
/ajax/options_save.php M
/include/mainpage/comp_catalog_ajax.php M
/bitrix/components/aspro/form.allcorp3/component.php M
/bitrix/modules/aspro.allcorp3/classes/general/CAllcorp3Tools.php M
/bitrix/modules/aspro.allcorp3/classes/general/CAllcorp3.php M
/bitrix/modules/aspro.allcorp3/install/components/aspro/form.allcorp3/component.php M
/bitrix/modules/aspro.allcorp3/install/wizards/aspro/allcorp3/site/public/en/ajax/options_save.php M
/bitrix/modules/aspro.allcorp3/install/wizards/aspro/allcorp3/site/services/main/settings.php M
/bitrix/modules/aspro.allcorp3/lib/gs.php M
/bitrix/modules/aspro.allcorp3/lib/catalog_cond.php M
/bitrix/modules/aspro.allcorp3/lib/crm/helper.php M
/bitrix/modules/aspro.allcorp3/lib/crm/base/connection.php M
/bitrix/modules/aspro.allcorp3/tools/customfilter_ajax.php M
/bitrix/wizards/aspro/allcorp3/site/public/en/ajax/options_save.php M
/bitrix/wizards/aspro/allcorp3/site/public/en/include/mainpage/comp_catalog_ajax.php M
/bitrix/wizards/aspro/allcorp3/site/public/ru/ajax/options_save.php M
/bitrix/wizards/aspro/allcorp3/site/public/ru/include/mainpage/comp_catalog_ajax.php M
/bitrix/wizards/aspro/allcorp3/site/services/main/settings.php M
Исправлено файлов: 18
Создан .zip архив: /upload/aspro_fixit/CSm8Odw_21102025.zip
Скрипт удалён
Устранили угрозы безопасности, в том числе 2 критичных. Настроили мета-теги title и description для главной страницы, так как был размещен новый файл index.php для главной страницы. После этого очистили кэш сайта.
Настроили редиректы в /home/bitrix/www/.htaccess:
# Редирект с http на https
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
# Редирект с www на без www (c https)
RewriteCond %{HTTP_HOST} ^www\.(.*) [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]
Редиректы нужны для склейки зеркал, чтобы копии сайта индексировались, как один сайт поисковыми системами. Иначе они будут воспринимать сайты «с www» и «без www», как два отдельных конкурирующих сайта.
Создали резервную копию всей файловой структуры сервера, сохранив удаление всех подозрительных папок и файлов.
Восстановление сайта завершено: мы перенесли его на новый сервер, восстановили его с новой операционной системой, устранили угрозы безопасности. Чтобы при загрузке сайт работал уже с нового сервера, мы установили IP-адрес нового сервера в A-запись домена сайта клиента. Сгенерировали бесплатный SSL-сертификат для сайта и хостов.
Создали актуальную резервную копию в «1С-Битрикс», а также удалили старый сервер.
Сайт на решении Аспро восстановлен и готов к работе.
Не просто починить, а усилить
Для повышения стабильности работы платформы и самого сайта, в том числе для повышения уровня защиты от взлома, предложили клиенту обновить лицензию «1С-Битрикс» для доступа к обновлениям.
Без них в будущем сайт, возможно, взломают снова. Если не обновлять платформу, то злоумышленники смогут воспользоваться неисправленными уязвимостями. При следующем взломе все данные клиента могут скопировать, слить в открытый доступ или полностью удалить, либо, возможно, сайт не будет подлежать восстановлению.
Выше названные причины для обновления мы рассказали клиенту. Он согласился с нами и решил продлить обновление. После оплаты и поставки лицензии на продление обновили платформу «1С-Битрикс».
Затем мы дополнительно провели ряд работ:
- Установили обновления на решения из Маркетплейса.
- Включили автокомпозитный режим для ускорения работы сайта.
- После обновлений проверили платформу и доступ к диску.
- Настроили модуль «Поиск» и отключили его статистику.
- Выполнили переиндексацию сайта для быстродействия поиска.
И, наконец, создали финальную резервную копию в «1С-Битрикс».
Заказать поддержку сайта и корпоративного портала
Итак, клиент пришел с проблемой – его сайт взломали. Мы зарегистрировали новый сервер, перенесли туда файлы со старого и выполнили работы по восстановлению работоспособности сайта, обновили и обслужили. В итоге клиент получил работающий сайт с повышенным уровнем безопасности и устойчивостью к взломам.
Рекомендуем обновлять и обслуживать сайт не реже 1 раза в год. При активной работе с сайтом и интернет-магазином – ежемесячно. Заполните форму обратной связи и мы вас проконсультируем по вашему вопросу.
Теги: Безопасность / Сайт / 1С-Битрикс / Хостинг / Timeweb