Как найти вирус который редиректит на другие сайты с 1С Битрикс?

Question

[Александр]

Примерно год назад столкнулись с проблемой - клиенты интернет-магазина, заходящие с мобильных устройств и именно с мобильной сети (не WiFi), на сайт вместо наших страниц попадали на различные рекламные сайты, включая даже контент 18+. Сами понимаете клиенты недовольны, репутация ухудшается, поисковые системы понижают в выдаче, накладывают временные блокировки, а также маркируя нас как сайт, угрожающий безопасности пользователя - "Сайт может угрожать безопасности пользователя, или на нём были обнаружены нарушения правил поисковой системы. Наличие этой проблемы негативно сказывается на положении сайта в результатах поиска."

Нами удавалось найти только "хвосты", которые редиректят на различные сайты, но корень проблемы, который генерирует такие файлы, не найден.
Сайт работает на CMS 1C-Битрикс, все рекомендации по безопасности были соблюдены, права пользователей разграничены как надо, в общем все, что рекомендуют в таких ситуациях - было сделано.

Как обнаружить этот корень, может по логам можно отследить обращения к PHP файлу, или еще как то. В общем, подскажите, как с этим бороться. Либо может кто-то сможет помочь лично.

Comments

[fStrange]

Могу помочь. Специализируюсь на безопасности сайтов.

Для сайтов на битриксе нечастая проблема. Кто то подвесил вам редирект мобильного траффика и зарабатывает вчерную.

Меры безопасности они работают только после того как зачистить шеллы, бекдоры и прочее. А когда у вас уже есть вир, они бесполезны. Я так понимаю, что вы сами вставки уже нескольколько раз обнаруживали, а сами шеллы не нашли. И через какое то время, вам заново ставят рекламу. Тут нужны специфичные знания по поиску обфусцированного кода.

telegram:https://t.me/fStrange
skype:fstrange.ru

[Ярослав Александров]

Теги РНР и Битрикс тут лишние. На вопрос нельзя дать ответ, вам нужны услуги опытного специалиста.

Answer 1

[Денис Юрьев]

Для экспресс-сканирования использую бесплатную версию
https://www.imunify360.com/antivirus
а дальше разрабам лог в обратную связь для анализа и устранения

есть еще сканер ai-bolit, но он более параноидальный, ругается на все подряд
Но этого как правило мало, надо еще найти как зловреда занесло

По опыту скажу, что (почти) все зловреды используют функцию eval в комплекте с base64_encode

Если в разработке используется гит, то git status вам в помощь.

PS: https врублен?

Comments

[Александр]

https врублен, конечно. ai-bolit'ом пробегались, все на что он ругался проверяли ничего вредоносного.

[Денис Юрьев]

Александр, я вообще не уверен что айболит обновляется.
для начала проверьте все .htaccess (с помощью find /path/to/webroot/ -name ".htaccess" -type f найдите все)
если в них ничего аномального, то дальше grep-ом поищите где в коде есть eval

[Денис Юрьев]

Александр, ну и на худой конец проверьте, нет ли левых ssh ключей в ~/.ssh/authorized_keys

если exec/shell_exec/тд не запрещены, или baseroot не ограничен корнем сайта, то зловред мог туда ключи злоумышленника закинуть

[Vitaliy K]

в htaccess еще бывает прописывает редиректы, встречал такое

[Adamos]

Денис Юрьев,

поищите где в коде есть eval

Я у себя на заведомо чистом Битриксе поискал PhpStorm'ом, совпадение только по целому слову.

Occurrences of 'eval' in Directory /media/work/PHP/site.ru/www/bitrix with mask '*.php,*.js,*.css'
Found Occurrences (1084 occurrences)

[Денис Юрьев]

Adamos, а теперь в этих же файлах base64_encode =)

[Adamos]

Денис Юрьев, да всего 175, почти не о чем говорить.

[Денис Юрьев]

Adamos, была подобная проблема, грепом отыскали за 2 часа зловреда
но после imunify уже юзал, он тьфу-тьфу пока не подводил для поиска.
вот лечить через него уже не рекомендую, но отыскать подозрительные файлы он может.

вообще задача намного быстрее решается при наличии гита, правда у нас как правило само ядро в гитигноре, но непосредственно в него никто не ползет, по этому уже diff-ом сравнивая с чистым дело быстро решается или поиском по mtime

Answer 2

[Александр]

Настройте проактивную защиту и все рекомендации в ней

Comments

[Александр]

Все это делали. Повторюсь, все рекомендации, которые предлагает Битрикс - соблюдены.