Ознакомьтесь с обновлениями продуктов, которые мы анонсировали! Смотрите, что нового.

Ru / Kzt

Очистка/ проверка сайта на вирусы

Когда было обнаружено, что сайт заражен следует выполнить следующие действия:

1) Найти и очистить сайт от shell-ов и blackdoor-ов

2) Найти возможный источник взлома, “залатать дыру”

3) Повысить безопастность сайта всеми доступными способами.

Ручная очистка файлов

В корне сайта вероятно вы найдете лишние файлы. Откройте все подозрительные файлы и удалите их в случае обнаружения угрозы.

Если не открывается сайт следует проверить содержимое файлов:

.htaccess и index.php

корректное содержимое htaccess выглядит примерно так


Следует проверить так же header.php ; footer.php содержимое папки /bitrix/ ; /bitrix/admin; /ajax/

Если у вас есть возможность попасть в админку сайта, в версиях Битрикс работающего на версии PHP 8 и выше, есть встроенный модуль поиска вирусов

В админке перейдите по пути: Рабочий стол > Настройки > Проактивная защита

Поиск троянов > Операционная система

Здесь отображаются данные о запущенных процессах и правилах крона, сверьте данные чтобы не было лишних правил/ процессов

Исправлять через SSH/терминал или панельку. При недостаточной компетенции обратитесь с Системному Администратору или руководству.


Поиск троянов > Проверка .htaccess

Зачастую вирусы плодят кучу лишних файлов htaccess

Проверьте файлы, в случае обнаружения угрозы или наличия большого количества файлов подобного типа удалите средствами системы и сгенерируйте “минимальный стандартный” набор.

Как правило на сайте не более 15-20 файлов подобного типа, чаще меньше. Если значение больше есть вероятность что это следы от вируса

Поиск троянов > Сканирование файлов

Запустите проверку. И проверьте подозрительные файлы;

Сейчас система работает несовершенно и при проверке отображаются все файлы в которых есть минимальные изменения в сравнении с файлами системы, и зачастую туда попадают ленговые файлы.


Следует в первую очередь отфильтровать по предлагаемым фильтрам + дата создания / дата обновления крайний месяц.

Файлов должно быть не много, и посильна ручная проверка. Удалите или очистите файлы с вредоносным кодом.

Так же рекомендуется проверить файлы и общим списком, в первую очередь обращайте внимание на файлы со степенью угрозы 1 и близко к единице ( за исключением ленговых файлов)

Папки cache/ manage_cache / resize_cache можно удалить целиком если обнаружена угроза


Если удалить файлы не получается, вероятно вирус сменил доступы к файлам или запущенны мешающие процессы. Так же если вы удалили файл а он появился вновь то следует “убить процессы”.

Для этого обратитесь к системному администратору или руководителю в случае отсутствия соответствующей компетенции

Сканер безопасности

Данный инструмент так же может подсвятить файлы зараженные вирусом, а так же показать уязвимые места.

Ознакомьтесь и примите возможные меры, по устратению “дыр”, то что можно настроить.

Что касается настроек сервера обратитесь к системному Администратору или руководителю

Рекомендуется перебить пароль к Базе данных и всех адаминистраторов

Смена пароля в БД. на стороне файловой системы сайта нужно изменить данные в файле

/bitrix/.settings.php

иногда пароль к БД так же прописан в /bitrix/php_interface/.dbcoon.php

Антивирус

В рамках сервера часто есть встроенный антивирус, рекомендуется прогнать через него сайт.

Так же есть сторонние сервисы вроде virusdie которые иногда находят то что не нашел встроенный антивирус сайта или сервера

Поиск “дыры”

Актуальная информация по уязвимым модулям -

Если на сайте обнаружена версия модуля с уязвимостью ( за исключением готового решения)

  • Обновите модуль
  • если требуется продление, сообщите владельцам сайта, уточните актуальность решения, в случае не актуальности в срочном порядке удалите модуль.

Для решений Аспро, разработчики готового решения подготовили патчер безопастности -

Безопастность сайта

1) В рамках проверки через сканер безопастности, системой были предложены потенциально слабые места и меры по их устранению, все ошибки помеченные как опасные следует устранить, по возможности устранить и менее опасные.

2) Следует обновить Битрикс и все сторонние модули, установленные на сайте

3) Все модули которые обновить нет возможности следует проверить на актуальность, уточнив у контактных лиц со стороны владельцев сайта.

Не актуальные модули убрать с сайта. Для актуальных рекомендовать продление лицензии и предупредить о том что это потенциальная дыра для взлома.

4) Проверить установленные модули битрикса на актуальность, сравнить со списком потенциально не защищенных, если модуль входит в риск и не используется в рамках этого конкретного сайта - удалить.

Лучше предварительно проверить на копии сайта

5) Актуализировать список лиц имеющих доступ к админке, сменить пароли, деактивировать устаревшие профиля. Полный админский доступ должно иметь минимальное количество лиц, если доступ по группам на сайте не настроен, попробовать убедить клиента оставить за минимальным количеством пользователей полный доступ, остальным выдать доступы в зависимости от выполняемых функций.

6) предложить / подключить двухфакторную аутентификацию на сайте для доступа к административной части.

7) Возможно в качестве меры безопастности административной части предложить закрытие ее под IP (Не самая удобная мера при работе с сайтом)



Примечание

Не лишним будет написание отчета по взлому, в случае обращения в ТП Битрикс/Аспро/иных модулей, можно будет описать все выполненные действия и внесенные файлы, для помощи в обеспечении безопастности следующих версий решений.

Формат отчета еще в процессе разработки, по этому составлять пока в свободной форме, главное чтобы все было предельно понятно и просто


ранее составленные “отчеты”: