Сайт на 1С Битрикс полностью или частично перестал работать (вредоносный код)

Визуальная диагностика

В первую очередь необходимо проверить сторонние файлы и директории не относящиеся к ядру 1С Битрикс.
Для этого необходимой войти в панель управления хостингом, затем открыть “Менеджер файлов” и перейти в рабочую директорию сайта, например: /www/ваш_сайт/

Внимательно ознакомиться со списком директорий и файлов в корневой директории сайта.

Признаки сторонних директорий по примерам названий:

• 8df1a333d (случайный набор цифр, букв и символов)
• wp-admin
• wp-includes
• webstat
• wp-tmp
• swfobject
• admin

Признаки сторонних файлов по примерам названий:

• 8df1a333d.php (случайный набор цифр, букв и символов)
• t.php
• test.php
• i.php
• info.php
• index.htm
• swfobject.js

Проверить наличие директив в файлах .htaccess в корневой папке сайта и во внутренних директориях, например: /bitrix/

Если в файлах .htaccess присутствует нижеследующее правило, то это является признаком сторонних изменений:

<FilesMatch (py|exe|phtml|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$>
Order allow,deny
Deny from all
</FilesMatch>

Как мог появиться сторонний код, файлы и директории?

Есть несколько основных вариантов внедрения в систему сторонних файлов, директорий и вредоносного кода:

• Устаревшая версия ядра 1С Битрикс.
• Ненадежные данные доступа к панели хостинга, ftp, mysql, администраторской панели сайта (админка Битрикс).
• Утечка данных доступа (включая основной доступ к панели хостинга), к узлам хостинга из электронной почты, мессенджеров и сервисов третьей стороны. Наличие вредоносных программ на локальном компьютере с которого осуществляется доступ к панели хостинга и его дочерним узлам (SSH, sFTP, FTP, администраторская панель сайта).
• Установлены некорректные права на директории и файлы. Пример ошибки: 777 для директории /bitrix/
• Наличие технического файла с кодом позволяющим получить доступ к администраторской панели сайта (файл с кодом может наследоваться от разработчика сайта или предыдущего хостинг-провайдера).

Можно ли выполнить очистку от сторонних файлов, директорий и кода средствами антивируса сервера?

Теоретически это возможно, но автоматические средства поиска и удаления сторонних файлов/директорий и кода могут затронуть и рабочие узлы ядра Битрикс, поэтому использовать данный способ не рекомендуется.

В случае, если администраторская панель сайта остается работоспособной, то рекомендуется установить дополнительный модуль "Поиск троянов" для 1С Битрикс или модуль "Поиск вирусов". После установки требуется провести сканирование всей файловой системы (на уровне до директорий с сайтами) через специальную страницу /bitrix/admin/bitrix.xscan_worker_fork.php

Обратите внимание на данные в строке "Начальный путь" (не содержит директорий сайтов т.е. поиск будет выполняться по всей файловой системе, а не в конкретной поддиректории сайта, что увеличивает вероятность нахождения вредоносных файлов):

Что делать для восстановления работоспособности сайта?

Наиболее быстрым способом восстановления работы сайта является восстановление из резервной копии (актуально для всех тарифов хостинга).

Для VPS и выделенных серверов инструкция актуальна при наличии действующей услуги по хранению резервных копий (бэкап-серверы) или при наличии личных локальных резервных копий.

Прежде, чем выполнять восстановление следует проверить наличие сторонних файлов и директорий в каждой из имеющихся резервных копий (проверять в порядке начиная с последней и до более ранних). Для этого в панели хостинга перейдите в раздел “Резервные копии”, выберите резервную копию из списка и нажмите кнопку “Данные” (или “Подробнее”):

В новом списке выберите строку “Файлы” и нажмите продолжить (кнопка “Файлы” или “Подробнее”):

Далее отобразится список корневых директорий и файлов аккаунта. Перейдите в раздел /www/, затем в директорию сайта. Внимательно просмотрите список на наличие признаков сторонних директорий и файлов (см. раздел “Визуальная диагностика” в начале данной инструкции). Если признаки присутствуют, то следует закрыть эту резервную копию и вернуться к списку резервных копий по датам.

Для проверки выберите следующую, более раннюю резервную копию. Повторите поиск на предмет сторонних директорий и файлов.

Если будет найдена резервная копия без признаков сторонних директорий и файлов, то следует записать/запомнить дату этой копии.

Если все имеющиеся резервные копии содержат признаки сторонних директорий и файлов - рекомендуется выполнить восстановление из самой ранней доступной резервной копии, а затем выполнить нижеследующие шаги инструкции:

1. Перейдите в раздел “Менеджер файлов” и далее в раздел /www/. Выберите в списке директорию сайта и удалите. Дождитесь полного завершения процесса (процедура удаления файлов сайта может занять до 15-20 минут, если сайт с большим объемом данных).
2. Перейдите в раздел “Резервные копии” и выберите резервную копию за нужную дату. 
3. Нажмите кнопку “Данные” (или “Подробнее”). В новом списке выберите строку “Файлы” и нажмите продолжить (кнопка “Файлы” или “Подробнее”).
4. Перейдите в раздел /www/ и выберите в списке директорию сайта (которую шагом ранее удаляли через “Менеджер файлов”). Нажмите кнопку “Восстановить” (строго 1 раз!).

   

5. Система начнет выполнение восстановления файлов сайта из резервной копии. Процедура может занять от 5 минут до нескольких часов. Срок выполнения операции зависит от объема данных сайта). Выполнение процедуры обозначается иконкой-индикатором:

   

1. Проверьте работу сайта после восстановления файлов из резервной копии (внешний осмотр и внутренний через администраторскую панель сайта).
2. Удалите технические (временные) файлы с кодом, позволяющим получать привилегии администратора сайта (чаще всего размещается в корневой директории сайта).
3. Проверьте права на файлы и директории по инструкции. 

Аналогично восстановлению файлов из резервной копии также следует произвести восстановление базы данных сайта, а именно:

Удалить текущую базу данных (раздел “Базы данных” в панели хостинга);
Восстановить базу данных используя ту же резервную копию из которой выполнялось восстановление файлов;

После восстановления файлов и баз данных НЕОБХОДИМО выполнить замену данных доступа к панели хостинга, дочерним узлам и администраторской панели сайта по инструкции.

Далее необходимо выполнить проверку целостности в администраторском разделе сайта: /bitrix/admin/security_file_verifier.php?lang=ru
Процедура может быть запущена только с вашей стороны т.к. потребуется пароль от лицензии Битрикс.

Завершающим этапом является проверка версии ядра 1С Битрикс (см. раздел “Маркетплейс” в администраторской панели сайта).

Если ядро 1С Битрикс давно не обновлялось?

Потребуется обновление ядра Битрикс, в противном случае, даже после успешного восстановления работоспособности сайта - возможны повторные случаи попадания вредоносного кода через уязвимые части устаревшего ядра.

Подробная инструкция по обновлению ядра Битрикс с переходом на версию PHP 8 находится на этой странице.

Выполняет ли техническая поддержка хостинга задачи по восстановлению работоспособности сайта и обновлению ядра Битрикс?

Техническая поддержка может помочь с запуском процедуры восстановления из резервной копии с указанной датой. Диагностика резервных копий службой поддержки не производится.

Обновление ядра не может быть выполнено технической поддержкой хостинга т.к. процесс напрямую связан с программным кодом каждого конкретного сайта, сторонних модулей, решений и их особенностей, а также истории разработки и иных доработок о которых служба поддержки хостинга не может знать, также как хостинг-компания не занимается разработкой и доработкой сайтов.

Процедура должна выполняться опытным пользователем систем 1С Битрикс или специализированным разработчиком.