Взлом сайтов на платформе 1С-Битрикс использующих решения решения компаний «eSolutions» и «Маяк» Краснодар Веб студия Alex Kote

С вами на связи ВЕБ-студия Alex Kote. В пятницу мы сначала столкнулись с взломами сайтов на платформе 1С-Битрикс использующих решения "eSolutions" и в течение дня начали получать информационную рассылку от компании Битрикс, но было уже поздно. О том как именно действовать если ваш сайт находится под угрозой или уже взломан описали в данной статье.

UPD. Прежде чем воспользоваться инструкцией убедитесь, что у вас установлено или присутствует любое решение eSolutions или Маяк. Если у вас отсутствуют такие решения то не применяйте данную инструкцию.

В марте 2025 года хотим обратить внимание на случаи взломов сайтов, использующих устаревшие версии следующих решений

От компании «eSolutions»
• «Многофункциональный экспорт/импорт в Excel»
• «Экспорт/Импорт товаров в Excel»
• «Импорт из XML, YML, JSON. Загрузка каталога товаров»
• «Массовая обработка элементов инфоблока (товаров)»
От компании «Маяк»
• «Экспорт в Excel. Выгрузка каталога товаров. Создание прайс-листа»
• «Импорт из Excel. Загрузка каталога товаров»

Если сайт уже взломан то выполняем следующий порядок действий:

1. Если у вас есть резервная копия до даты взлома то восстанавливаете резервную копию и устанавливаете патч доступный по адресу https://disk.yandex.ru/d/5SvCJOzeAQ0yhg.

2. Если резервной копии нет, то подключаемся к серверу или хостингу используя консоль Putty или другой консольный клиент. Заходим в директорию сайта и выполняем сначала команду
find . -type f -name ".htaccess" -exec rm -f {} \;
затем find . -type f -name "siteheads.php" -exec rm -f {} \; эти команды массово удалят файлы .htaccess и siteheads.php
командой find . -type f -name "cache.php" находим вредоносные файлы с именем cache.php - чаще всего с ними находятся файлы index.php - не удаляйте их массово, это может нарушить работу сайта. Проверьте через фтп файлы и пути и убедитесь что данные каталоги содержат вредоносный код.
3. Далее вручную удаляем в папках корневых дубли папок содержащих файлы php, js и другие. Стираем папки assets и auth если они не используются на вашем сайте. Все папки и файлы содержат дату создания - дату взлома сайта.

4. Скачиваем файл index.php из корня и файл .htaccess_restore - в файле index.php удаляем внедренный eval код - строчка с набором символов и знаков в самом верху. Не удалите тег открытия кода php для подключения компонентов Битрикс должна быть первой вот такая строка. Меняем имя файлы .htaccess_restore на htaccess.

5. Перезагружаем обязательно сервер или пишем в тех.поддержку о перезагрузки услуги хостинга, если это не сделать то файл index.php в корне продолжит перезапись с кодом внедрения.

6. Загружаем файлы index.php и .htaccess в корень. Меняем права файла index.php с 444 на 644.

7. Устанавливаем патч закрывающий уязвимость. Если модули не используются то лучше их удалить и стереть установочные файлы модулей через раздел Marketplace - установленные решения.

Если сайт не взломан но версия модулей старая просто установите данный патч для устранения уязвимостей https://disk.yandex.ru/d/5SvCJOzeAQ0yhg или удалите модули которые не используются и сотрите установочные файлы.

P.S. не устанавливайте патч до устранения уязвимостей или если модуль был не установлен, но сохранены установочные файлы. В этих случаях патч не работает и уязвимость останется! Хакеры осуществлявшие взлом следят за темой на форуме Битрикс и уже внесли правки в код не позволяющий выполнить патч корректно.

UPD 07.04.2025 Если вы используете решение Concept.Кракен необходимо обновить решение, если нет возможности обновить то удалить файл /bitrix/tools/kraken/ajax/cart/cart.php если не используете корзину. В случае если используется корзина то необходимо модифицировать решение с помощью специалистов.

Счет в матче