Исправление сайта от взлома и вирусов

В основном, взлом происходит из-за устаревшего ПО, в большинстве случаев проблема в уязвимости старой версии битрикса клиента.

Взломанные файлы (бэкдоры) - это либо изменённые файлы .htaccess, которые портят логику сайта, либо файлы .php, в которых внесена вредоносная логика.

Код с вредоносной логикой зашифрован поэтому совершено не читаем.

Ознакомиться со статьей "Рекомендации по безопасности".

Работа с хостером

Уточните у техподдержки вашего хостинга, почему не работает сайт.

Приводим типовой ответ от Timeweb, если сайт взломан и заражен:

Вы можете выполнить все действия, приведенные в ответе самостоятельно.

Также за услугой очистки от вирусов можно обратиться к хостеру. Например, таймвеб оказывает услугу "Скорая помощь" https://timeweb.com/ru/docs/antivirus/usluga-skoraya-pomoshch/, нужно пополнить баланс на данную сумму. После этого обратиться в техподдержку таймвеба с запросом на данную услугу.

После очистки вам обязательно самостоятельно нужно:

1. Обновить 1С-Битрикс до последней версии. 

2. Рекомендуем установить "Проактивную защиту" 1С-Битрикс (функционал доступен для редакции Стандарт и выше) если она не была установлена. 

3. Поменять пароли у админских доступов, проверить нет ли лишних пользователей с админскими доступами, деактивировать их.

4. Выполнять рекомендации по безопасности, описанные в статье Рекомендации по безопасности.

Работа на сайте

Если на сайте установлен 1С-Битрикс редакции "Старт", то нужно приобрести переход на "Стандарт", обновления 1С-Битрикс должны быть доступны, т.е. должна быть активная лицензия 1С-Битрикс. Установить модуль Проактивной защиты (доступен для редакции Стандарт и выше).

Инструкция по очистке:

Шаг 1. Обеспечить вход в битрикс, исправить файлы или .htacess которые этому препятствуют.

Шаг 2. Если есть модуль vote то удаляем его потому что он содержит уязвимость и возможно взлом происходил через него.

Шаг 3. Запустить сканер проактивной защиты /bitrix/admin/security_scanner.php?lang=ru

Шаг 4. Файлы, в которых код целиком зашифрован удалить. В файлах, в которых лишь вставка зашифрованного кода, удалить данную вставку.

Шаг 5. Удалить лишние htacess если они имеются, если есть ssh то можем:

Шаг 6. Обновить 1С-Битрикс до последней версии.

Внимание! При отображении ошибки об устаревшей версии PHP необходимо сначала установить все доступные обновления 1С-Битрикс на сайте с текущей версией php (например, 7.4), только после этого повышать версию php на сайте на 8.ХХ и еще раз установить все доступные обновления 1С-Битрикс, а также обновить модули SIMAI, в том числе и simai.framework.

Если нужно изменить версию на PHP 8.x, а сейчас установлена не 7.x, а гораздо ниже, например, 5.x, то повышать нужно постепенно. Т.е. сначала до 7.x, потом установить нужные обновления 1С-Битрикс, потом уже повысить до 8 и установить доступные обновления. В противном случае могут возникнуть ошибки.

Возможно отображение ошибок в разделе Администрирование > Marketplace > Обновление решений.

Например:

При повышении PHP до 8 версии в работе сторонних модулей 1С-Битрикс могут появиться ошибки.

Ошибка №1

При возникновении данной ошибки нужно либо обновить модуль до последней версии, либо в файле /bitrix/modules/название.модуля/install/index.php заменить название функции function название_модуля() на function __construct() После этого ошибка должна уйти.

Ошибка №2

Необходимо найти код данного модуля по следующему пути (/bitrix/modules/название.модуля), определиться с классом в котором возникает данная ошибка и к данному классу приписать служебное слово static, примерно так:

После исправления данной ошибок, могут появиться дополнительные доступные обновления, которые необходимо установить. 

Шаг 7. Изменить пароль у своей админской учётки.

Шаг 8. Проверить, нет ли лишних админских учёток, деактивировать их.

Шаг 9. Выполнять рекомендации по безопасности, описанные в статье Рекомендации по безопасности.

Также можно воспользоваться модулем "Поиск троянов" от 1С-Битрикс.