Исправление сайта от взлома и вирусов

Исправление сайта от взлома и вирусов

В основном, взлом происходит из-за устаревшего ПО, в большинстве случаев проблема в уязвимости старой версии битрикса клиента.

Взломанные файлы (бэкдоры) - это либо изменённые файлы .htaccess, которые портят логику сайта, либо файлы .php, в которых внесена вредоносная логика.

Код с вредоносной логикой зашифрован поэтому совершено не читаем.

Ознакомиться со статьей "Рекомендации по безопасности".


Работа с хостером

Уточните у техподдержки вашего хостинга, почему не работает сайт.

Приводим типовой ответ от Timeweb, если сайт взломан и заражен:

Техническая поддержка Timeweb

Судя по всему, ваш сайт был взломан и на нем был размещен вредоносный код.

Первым делом рекомендую изменить пароли доступа к аккаунту (он же FTP и SSH).

Затем, рекомендую восстановить сайт из резервной копии. Причем восстанавливать необходимо в чистую директорию и базу данных. То есть вы можете переименовать или удалить оригинальную директорию, после сделать дамп базы и удалить все таблицы из оригинальной базы, а затем уже запустить восстановление.

Подробнее о восстановлении из резервной копии: https://timeweb.com/ru/docs/virtualnyj-hosting/rezervnoe-kopirovanie/vosstanovlenie-iz-rezervnoj-kop...

После этого, необходимо изменить пароль от админки и обновить CMS и её компоненты, включая плагины. Далее необходимо убедиться в отсутствии вредоносного кода воспользовавшись антивирусным сканированием.

Рекомендации по действиям при заражении вредоносным кодом смотрите здесь: https://timeweb.com/ru/docs/virtualnyj-hosting/vzlomy-i-zashchita/ustranenie-i-preduprezhdenie-vzlom...

Вы можете выполнить все действия, приведенные в ответе самостоятельно.

Также за услугой очистки от вирусов можно обратиться к хостеру. Например, таймвеб оказывает услугу "Скорая помощь" https://timeweb.com/ru/docs/antivirus/usluga-skoraya-pomoshch/, нужно пополнить баланс на данную сумму. После этого обратиться в техподдержку таймвеба с запросом на данную услугу.

Если ваш аккаунт на timeweb находится под управлением ООО "Симай", для пополнения баланса обратитесь в отдел продаж на e-mail sale@simai.ru или по телефону:

После очистки вам обязательно самостоятельно нужно:

1. Обновить 1С-Битрикс до последней версии. 

2. Рекомендуем установить "Проактивную защиту" 1С-Битрикс (функционал доступен для редакции Стандарт и выше) если она не была установлена. 

3. Поменять пароли у админских доступов, проверить нет ли лишних пользователей с админскими доступами, деактивировать их.

4. Выполнять рекомендации по безопасности, описанные в статье Рекомендации по безопасности.


Работа на сайте

Если на сайте установлен 1С-Битрикс редакции "Старт", то нужно приобрести переход на "Стандарт", обновления 1С-Битрикс должны быть доступны, т.е. должна быть активная лицензия 1С-Битрикс. Установить модуль Проактивной защиты (доступен для редакции Стандарт и выше).

Для покупки перехода с редакции "Старт" на "Стандарт" или продления 1С-Битрикс обратитесь в отдел продаж на e-mail sale@simai.ru или по телефону:

Инструкция по очистке:

Шаг 1. Обеспечить вход в битрикс, исправить файлы или .htacess которые этому препятствуют.

Шаг 2. Если есть модуль vote то удаляем его потому что он содержит уязвимость и возможно взлом происходил через него.

Шаг 3. Запустить сканер проактивной защиты /bitrix/admin/security_scanner.php?lang=ru

Шаг 4. Файлы, в которых код целиком зашифрован удалить. В файлах, в которых лишь вставка зашифрованного кода, удалить данную вставку.

Шаг 5. Удалить лишние htacess если они имеются, если есть ssh то можем:

1. зайти в директорию сайта:
- cd /home/edu/web/site/public_html/

2. удалить все htacess:
- find . -type f -name ".htaccess" -delete

3. надо возвратить необходимые htacess, для этого открываем сайт разработки и копируем:
- с корня сайта
- с папки /bitrix/modules/
- c папки /upload/

4. без ssh - тогда запускаем рекурсивный пошаговый скрипт который будет удалять только .htacess, также возвращаем исходные файлы.

Шаг 6. Обновить 1С-Битрикс до последней версии.

Внимание! При отображении ошибки об устаревшей версии PHP необходимо сначала установить все доступные обновления 1С-Битрикс на сайте с текущей версией php (например, 7.4), только после этого повышать версию php на сайте на 8.ХХ и еще раз установить все доступные обновления 1С-Битрикс, а также обновить модули SIMAI, в том числе и simai.framework.

Если нужно изменить версию на PHP 8.x, а сейчас установлена не 7.x, а гораздо ниже, например, 5.x, то повышать нужно постепенно. Т.е. сначала до 7.x, потом установить нужные обновления 1С-Битрикс, потом уже повысить до 8 и установить доступные обновления. В противном случае могут возникнуть ошибки.

Возможно отображение ошибок в разделе Администрирование > Marketplace > Обновление решений.

Например:


При повышении PHP до 8 версии в работе сторонних модулей 1С-Битрикс могут появиться ошибки.

Ошибка №1

[Ux11] Ошибка описания модуля "название.модуля".
Не установлено соединение с сервером обновлений. [Ux11] Ошибка описания модуля "название.модуля"

При возникновении данной ошибки нужно либо обновить модуль до последней версии, либо в файле /bitrix/modules/название.модуля/install/index.php заменить название функции function название_модуля() на function __construct() После этого ошибка должна уйти.

Ошибка №2

call_user_func_array(): Argument #1 ($function) must be a valid callback, non-static method НазваниеМодуля::МетодКласса() cannot be called statically (0)

Необходимо найти код данного модуля по следующему пути (/bitrix/modules/название.модуля), определиться с классом в котором возникает данная ошибка и к данному классу приписать служебное слово static, примерно так:

static function МетодКласса()

После исправления данной ошибок, могут появиться дополнительные доступные обновления, которые необходимо установить. 

Шаг 7. Изменить пароль у своей админской учётки.

Шаг 8. Проверить, нет ли лишних админских учёток, деактивировать их.

Шаг 9. Выполнять рекомендации по безопасности, описанные в статье Рекомендации по безопасности.


Также можно воспользоваться модулем "Поиск троянов" от 1С-Битрикс.


Мы можем решить вопрос восстановления сайта и очистке от вирусов только через платную техническую поддержку, для заключения договора и оплаты обратитесь в отдел продаж на e-mail sale@simai.ru или по телефону:




Начать курс обучения