Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Телеграм
Право
Соцсети
Крипто
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Дмитрий Ануфриев
Разработка

Новый вирус под Битрикс, который использует уязвимость модулей интернет-магазинов Аспро

Уязвимость закрывается только вручную, сейчас расскажу как

Буквально вчера от наших клиентов начали приходить письма проверить проблему: товары не добавляются в корзину. Мы занялись анализом и заметили кучу вредоносных файлов в папке /ajax/ в корне проектов.

В папке /ajax/ появились вредоносные файлы со случайными названиями типа fd1fq13132.php, вредоносный .htaccess и php.ini

Первым делом установили все актуальные обновления ядра и модулей, удалили вредоносные файлы, но это не помогло - буквально через несколько минут файлы появились снова. Значит уязвимость не закрыта и ее все еще можно эксплуатировать.

После анализа логов и поиска в интернете мы нашли решение, которое закрывает возможность повторного заражения. Алгоритм следующий:

  • Удаляем все подозрительные файлы из папки /ajax/. Это файлы со случайными именами, .htaccess и php.ini. Смотрим git status, все подозрительные файлы сразу будут видны. Вирус не модифицирует файлы сайта, только добавляет свои
  • Находим в папке /ajax и /include в поиске по содержимому (можно через админку, можно через IDE) все файлы, содержащие строку unserialize и заменяем на безопасный unserialize ['allowed_classes' => false]. Обычно это файлы: reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, comp_catalog_ajax.php
  • Обновляем ядро сайта и модули до последних версий. Запускаем в админке в модуле Проактивной защиты проверку .htaccess, находим и удаляем лишние
  • Запускаем в модуле Проактивной защиты Сканирование файлов. Дожидаемся окончания и внимательно смотрим на файлы с тегами obfuscator. Все подряд удалять или исправлять нельзя, нужно в файлах увидеть вредоносное содержимое. Но есть и файлы ядра, которые сканер тоже помечает этим тегом, будьте осторожны
  • На всякий случай меняем пароли Администраторов сайта

Готово!

После выполненных манипуляций на атакуемых проектах появление вредоносных файлов прекращается, считаем уязвимость закрытой.

Пишите нам, если нужна помощь! Специализируемся на крупных проектах на Битрикс.

Статью подготовил Дмитрий Ануфриев, директор "WL, digital-агентство"

Пишите в телеграм: @im_ad_min или на почту director@weblipka.ru

5
12 комментариев