Как очистить сайт от вирусов

Главное - не паниковать!
Обновлено 14.01.2022: Эта история произошла с нашим собственным сайтом на 1С-Битрикс в далеком 2014 году, но, к сожалению, владельцы сайтов на других CMS продолжают обращаться к нам с похожими проблемами до сих пор.

Кто-то из клиентов компании сообщил, что при заходе на наш сайт показывается какой-то странный баннер. При входе через строку браузера, открывает нормальный чистый сайт, при переходе из поисковых систем — перенаправляет на страницу с вредоносным скриптом.

2.png

Можно открыть firebug’ом div с табличкой и просмотреть скрипты и адрес сервера, на который идет переадресация.

1.png

К сожалению, эта информация не имеет ни капли пользы. Поэтому забудем про нее, подключаемся к серверу по ftp и находим файл .htaccess. Качаем его, предварительно отключив антивирус (avast сразу ругается на троян). Всему виною записи, содержащие RewriteCond и RewriteRule:

3.png

Директива RewriteCond определяет условия для какого-либо правила. Перед директивой RewriteRule располагаются одна или несколько директив RewriteCond. Следующее за ними правило преобразования используется только тогда, когда URL соответствует условиям этой директивы и также условиям этих дополнительных директив. Удаляем все похожее.

Следующим шагом скачиваем устанавливаем из Маркетплейса модуль bitrix.xscan и запускаем поиск. В случае обнаружения вредоносного кода: либо вычищаем вручную, либо переименовываем и удаляем сам файл.

Читайте также: Авторизация под Админом без логина и пароля в 1С-Битрикс

Как может маскироваться вредоносный код

  • Под файл ядра 1С-Битрикс. Обнаружить такие файлы очень сложно. В ядре 1С-Битрикса десятки тысяч файлов. Сомневаюсь, что даже разработчики CMS могут сказать точно: какие файлы "родные", а какие нет.
  • Подключение вредоносного файла внутри стандартных файлов ядра. Мы находили подключение вредоносных скриптов, например, в файле prolog_before.php. С этим вариантом еще сложнее. Если в первом случае можно сравнить файлы с "чистым" сайтом, то тут придется залезть в файлы и найти строчки кода, которые к ядру не относятся. К счастью, такие файлы легко находит xscan.
Как правило, вредоносный код представляет собой длинную непонятную строку (иногда base64). Вы не спутаете её ни с чем, поверьте.

Как обезопасить сайт

  • Обязательно настройте повышенный уровень безопасности админских профилей.
  • Запустите сканер безопасности и Проактивную защиту Битрикса.
  • Поменяйте все пароли: на хостинг, на ftp, в административную панель.
  • Деактивируйте сомнительных админов (если вы не знаете или забыли кому принадлежат учетные записи).
  • Проверяем сервер на наличие файлов, измененных одновременно с .htaccess.
Обсудим проект? Напиши в Телеграм или Whatsapp

Комментарии

Подпишись на наш Телеграм канал