Массовый взлом сайтов на Битриксе (2022): как проверить и устранить

Во вторник, 28 июня, владельцы порталов и сайтов на Битриксе столкнулись с массовым взломом своих проектов. Из обсуждения на официальном форуме Битрикса известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.

Наши клиенты с которыми заключены договоры на услуги технической поддержки вне опасности - все необходимые действия для предотвращения угрозы произведены, а последствия взломов на сайтах, которые подверглись атакам устранены.

Для остальных владельцев веб-сайтов и порталов на 1С-Битрикс мы подготовили инструкцию для самостоятельной проверки своего веб-сайта и устранения уязвимости:

1. Если ваш сайт еще доступен - попробуйте авторизоваться в панели управления 1С-Битрис в качестве пользователя с правами администратора;
2. Перейдите в раздел "Маркетплейс" - "Обновление платформы" и нажмите "Установить рекомендуемые обновления";
3. Перейдите в раздел "Настройки" - "Настройки продукта" - "Модули" и убедитесь, что установленная версия модуля "vote" не ниже 21.0.100;
4. Проверьте ваш веб-сайт на предмет заражения:
   1. Проверьте в директории /bitrix/tools/ наличие файла p****_huilo.php - файл должен отсутствовать;
   2. Подключитесь к серверу по SSH, перейдите в раздел, где находятся исходные файлы вашего веб-сайта и запустите следующую команду: grep -r --include=*.php "QlhfVE9LRU4=" - результат должен быть пустым;
   3. Проверьте недавно измененные PHP-файлы с помощью команды find -type f -name "*.php" -mtime 0 -printf '%TY-%Tm-%Td %TT %p\n' | sort -r - среди недавно изменённых файлов не должны присутствовать файлы со странными названиями и зашифрованным кодом;
   4. Проверьте исходные файлы сайта с помощью анти-вируса (например, ClamAV);
5. При обнаружении следов заражения - сохраните локально текущие исходные файлы вашего сайта и дамп базы данных, выполните откат резервной копии до 27 июня (или ранее), убедитесь в отсутствии следов заражения (п.4 этого списка) и проведите миграцию БД добавив в неё новые записи (добавленные и измененные после даты формирования резервной копии, которая была развёрнута).