Добавить в корзинуПозвонить
Найти в Дзене

Безопасность Битрикс: история беспечного магазина, который узнал о взломе от покупателей

Владелец магазина детских товаров Сергей проснулся от звонка бухгалтера: «У нас массовые возвраты, клиенты говорят, что деньги списываются дважды». Он открыл админку — всё работало, заказы шли. Но что-то было не так. Мы зашли на сервер и обнаружили скрытый скрипт, который уже три месяца подменял платёжную форму. Данные карт утекали на левый сервер. Взлом произошёл через устаревшую версию модуля резервного копирования 1С-Битрикс, который не обновляли полтора года. Патч, закрывающий уязвимость, вышел за девять месяцев до атаки. Сергей просто не ставил обновления, боясь сломать сайт. История Сергея не уникальна. По нашей статистике, 95% взломов за последние два года произошли через уязвимости, для которых уже существовали исправления. Механика проста: как только разработчики выпускают патч, хакеры начинают сканировать интернет в поисках сайтов, где обновление не установлено. Это автоматизировано и происходит круглосуточно. Безопасность Битрикс и обновления — это не про «когда будет время»
Оглавление
Взлом интернет-магазина через уязвимость старого модуля
Взлом интернет-магазина через уязвимость старого модуля

Владелец магазина детских товаров Сергей проснулся от звонка бухгалтера: «У нас массовые возвраты, клиенты говорят, что деньги списываются дважды». Он открыл админку — всё работало, заказы шли. Но что-то было не так. Мы зашли на сервер и обнаружили скрытый скрипт, который уже три месяца подменял платёжную форму. Данные карт утекали на левый сервер. Взлом произошёл через устаревшую версию модуля резервного копирования 1С-Битрикс, который не обновляли полтора года. Патч, закрывающий уязвимость, вышел за девять месяцев до атаки. Сергей просто не ставил обновления, боясь сломать сайт.

Безопасность Битрикс обновление: почему «авось» не работает

История Сергея не уникальна. По нашей статистике, 95% взломов за последние два года произошли через уязвимости, для которых уже существовали исправления. Механика проста: как только разработчики выпускают патч, хакеры начинают сканировать интернет в поисках сайтов, где обновление не установлено. Это автоматизировано и происходит круглосуточно. Безопасность Битрикс и обновления — это не про «когда будет время». Это про то, что патч безопасности нужно ставить в день выхода, максимум — в течение суток. Сергей теперь обновляет сайт каждую неделю и боится представить, что было бы, если бы взлом не заметили ещё полгода.

Мы объяснили ему: не обязательно обновлять всё сразу. Критические патчи безопасности ставятся немедленно, а крупные релизы с новым функционалом можно тестировать на копии сайта. Главное — выделить на это час в неделю и делать регулярно. Как только он ввёл такой регламент, страх перед обновлениями исчез.

Повысить защиту сайта на Битрикс: что мы сделали за час

Как восстановить безопасность сайта на Битрикс за час с помощью чек-листа
Как восстановить безопасность сайта на Битрикс за час с помощью чек-листа

Чтобы закрыть уязвимости на его сайте, мы действовали по простому плану. Первое — обновили все модули и ядро до актуальных версий. Второе — сменили абсолютно все пароли: от админки, базы данных, хостинга. Третье — удалили десяток неиспользуемых модулей, которые были установлены «на пробу» разными подрядчиками. Четвёртое — включили «Проактивную защиту», которая теперь блокирует попытки эксплуатации известных уязвимостей. Пятое — настроили мониторинг целостности файлов, чтобы в случае повторной попытки залить шелл мы узнали об этом мгновенно. Всё это заняло меньше часа.

Самое сложное для Сергея было решиться. Он годами откладывал обновления, потому что однажды после обновления у него сломалась корзина. Мы показали, как делать бэкап перед обновлением и как быстро откатить изменения, если что-то пойдёт не так. Теперь у него есть тестовая копия магазина, где он проверяет обновления, прежде чем применить их на боевом сайте.

Программа безопасности Битрикс: как мы нашли и обезвредили шелл

Программа безопасности Битрикс сканирует файлы и блокирует вредоносный код
Программа безопасности Битрикс сканирует файлы и блокирует вредоносный код

Когда мы чистили сайт Сергея, нам помогла встроенная программа безопасности Битрикс. «Веб-антивирус» просканировал всю файловую систему и нашёл не только тот самый шелл в папке модуля резервного копирования, но и ещё два подозрительных файла в /bitrix/backup/, которые, скорее всего, были заготовками для повторного взлома. «Контроль целостности» сравнил файлы с эталонными хешами и показал, что было изменено за последние месяцы. Это позволило быстро оценить масштаб компрометации.

Но одного софта мало. Мы также настроили серверные инструменты: Fail2Ban для блокировки перебора паролей, ограничили доступ к админке по IP и перенесли панель администратора на отдельный поддомен с дополнительной аутентификацией. Сергей теперь спит спокойно. А его главный вывод: «Лучше час в неделю на безопасность, чем неделя на восстановление».

Проверьте свой магазин сегодня: обновите модули, смените пароли и включите проактивную защиту. Если нужна помощь — закажите бесплатный аудит на support.orangecode.ru, мы поможем.