Как вылечить файл сайта на 1С-Битрикс от трояна?

Question

[dimadimonov]

Сканер троянов нашел такой вот файл.
Сисадмин говорит, что всё ок. Или не ок?

Тут Зачем этот код? Не вирус? пишут, что так закодирована проверка лицензии.

Файл /home/htdocs/www/bitrix/modules/main/lib/security/w/wwall.php
Дата модификации 04.04.2025 18:56:05
Дата создания 04.04.2025 18:56:05

Оценка 1
Подозрительный код
[001] obfuscator

Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][0]()
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][1]()
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][2]($_79324950, true)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][3]($_480865022, $this->recursiveContextKeyHandle($_1584112309, $_515402301, [], $_1721122455))
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][4](___1042731447(14), $_552140553->getContextKey())
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][5](___1042731447(16), $_552140553->getContextKey())
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][6](___1042731447(18), $_552140553->getContextKey())
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][7]($_1606423298)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][8]($_889461715)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][9]($_1606423298)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][10]($_834696411)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][11]($_834696411)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][12]($_428983417, [$_1848369726])
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][13]($_25901216)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][14]($_480865022, $this->recursiveContextKeyHandle($_1584112309, $_515402301[$_1848369726], $_834696411, $_1721122455))
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][15](___1042731447(22), $_1125728017, true)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][16](___1042731447(24), $_1125728017, true)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][17](___1042731447(26), $_1125728017, true)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][18](___1042731447(28), $_1125728017, true)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][19](___1042731447(30), $_1125728017, true)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][20]()
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][21]()
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][22](function ($_308701395) {
}, ModuleManager::getModulesFromDisk())
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][23]()
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][24]($_828375596)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][25]([___1042731447(43) => $GLOBALS['____1903455302'][26](), ___1042731447(44) => $_44523143])
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][26]()
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][27]($_1681107576)
Подозрительный код
[660] array member as a function
$GLOBALS['____1903455302'][28](___1042731447(72), $_450978999)
Подозрительный код
[321] base64_encoded code
Q2FuIG5vdCBleGVjdXRlIHd3YWxsIHJ1bGVzOiA=

Comments

[Ярослав Александров]

Битрикс закрывает часть файлов ядра через обфускацию, это не вирусы

[Adamos]

Единственный надежный способ лечения Битрикса - это замена того, что заражено, здоровыми файлами из бэкапа.
При зашкаливающем говнокодинге и тысячах eval-ов, которыми нашпигован Битрикс из коробки, чистка этих конюшен, кроме как по-геракловски (т.е. смыть все нахрен) - просто не в человеческих силах.

P.S. А то, чего в бэкапе нет - можно смело удалять, не изучая. У меня такого на сайте 2007:2023 - нет

bitrix/modules/main/lib/security$ ls
mfa
sign
cipher.php
password.php
random.php
securityexception.php
weakpassword.php

[dimadimonov]

Ярослав Александров, спасибо

[dimadimonov]

Adamos, да, битрикс ещё та система)

[Ярослав Александров]

dimadimonov, вполне нормальная система, смотря с чем сравнивать и по каким параметрам, на данный момент из тиражных готовых систем управления ничем не хуже остальных.

Answer 1

[Виктор Таран]

https://virusdie.com/
добавь сайт просканируй там скорее всего не один.
2. обнови в прошлом году была очень большая уязвимость, или даже в позапрошлом, короче обнови битрикс.
3. что-то руками удалить что -то почистить.
grock ai тебе в помощь сканируй весь список файлов сомнительных.
получи их список попроси грок написать тебе код коорый их все прочитает и соранит в 1 файлл.
отправь егму этот файл, дальше спрашивай и он тебе сделает.
если в пхп разбираешься то с легкостью и сам почистишь.