Почему в каждом разделе bitrix находится файл .htaccess?

Question

[Алексей]

Клиент пожаловался что не открываются разделы сайта, в том числе и админка с ошибкой 403 Forbidden. Поискав немного, обнаружил что в каждом из разделов (например /bitrix/, /about/, /contacts/ и т.д.) находится файл .htaccess с кодом:

<FilesMatch ".(phtml|php|PhP|php5|suspected)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Собственно если файл удалить, то раздел открывается (что в общем то логично). Вопрос в том откуда эти htaccess там взялись? У всех htaccess стоит одна и та же дата изменения.

Comments

[no_one_safe]

У меня для вас плохие новости. Скорее всего вас сломали.
Ещё как вариант - кривой функционал на сайте, что вряд ли. Первое вероятнее. Ищите левые скрипты и файлы.

Answer 1

[ge]

А ещё у вас в корне сайта файл .htaccess с чуть более длинным почти аналогичым содержимым и вставка в начале index.php с зашифрованным кодом и чем-то отсылающим к Wordpress.

Если да, то вас поломали. До боли знакомый вредонос. Восстанавливайтесь из бэкапов и закрывайте все дыры которые можете. Скорее всего где-то рядом лежит ещё пара другая шеллов. Например, я часто видел fot.php.

Как лечить не подскажу, но настоятельно рекомендую заняться безопасностью.

Comments

[Алексей]

Да, все в точности так как вы написали. Все меры предпринял, нашел вредоносные файлы через утилиту AI-Bolit + удалил то что казалось подозрительным. Поменял везде доступы, закрыл доступ для регистрации пользователей. Как считаете, для чего это делается? По заказу или просто от скуки?

[ge]

Алексей, ваш сайт был взломан потому, что был уязвим. Таргетированные атаки это редкое явление. Сеть постоянно сканируется ботами и ломаются любые сайты которые могут быть взломаны. Просто возьмите любой сервер у любой компании, ничего на нём не размещайте и смотрите в authlog. В первый же день к вам постучится как минимум несколько китайских ботов и попробуют сбрутфорсить пароль root. Точно также в логе доступа к статическому сайту вы сможете обнаружить пачки подозрительных запросов, похожих на SQL инъекции и так далее. То есть под раздачу попадают все без разбору методом тупого перебора. Делается это для того, чтобы: разместить на вашем сайте фишинговую страницу, разослать спам, просто "по приколу", чтобы поломать сайт, распространить вредонос дальше и невесть что ещё. Даже если вы "никому не нужны", вас взломают и используют для чего-нибудь злого. Добро пожаловать в интернет.
Обновляйте ПО своевременно.

Answer 2

[Алексей Емельянов]

Это точно не дело рук битрикса. Прогоните тест на изменения ядра, на всякий случай.

Answer 3

[Сергей Венедиктов]

Удалось ли найти причину? И на каком хостинге размещается сайт - виртуальный или VDS?

Comments

[Алексей]

Причину я не нашел, чтобы точно выявить нужно привлекать специалиста по безопасности. Как я понял, наиболее уязвимы сайты, на которых cms давно не обновлялась. Хостинг виртуальный.

[Сергей Венедиктов]

Алексей, не подскажете название хостинга, если он российский, если не тайна?