Заражение сайта через устаревшие решения компании «INTEC» Краснодар Веб студия Alex Kote

Возвращаемся на связь так как к нам приехала новая волна заражений сайтов. На момент получения писем от центра мониторинга инцидентов «1С-Битрикс» сайты уже были заражены.

Прежде чем воспользоваться инструкцией убедитесь, что у вас установлено или присутствует Ядро - базовый модуль для решений INTEC (версии 1.2.29 и старее). Если у вас отсутствуют такие решения то не применяйте данную инструкцию.
Вирус ведет себя стандартно. Изменяет корневой .htaccess, создает файлы .htaccess во всех папках, изменяет корневой index.php, добавляет собственные файлы cache.php, index.php, texts.php. Также вирус может создавать вредоносные процессы которые выполняют PHP-скрипт /tmp/httpd.conf выглядит это так:
24857 php -f /tmp/httpd.conf
24866 php -f /tmp/httpd.conf
24880 php -f /tmp/httpd.conf
Это НЕ нормально - файл httpd.conf должен быть конфигом Apache, а не PHP-скриптом, и не должен выполняться через php -f. Данные процессы пересоздают файл index.php в корне поэтому его удаление или изменение без остановки процессов ничего не даст.

Внимание следующие действия должны выполняться только специалистом. Если вы не уверены что можете правильно использовать или интерпретировать команды, лучше обратитесь в службу поддержки хостинга или к сторонним специалистам.

С помощью ssh подключитесь к вашему хостингу или серверу.
Остановите сервисы NGINX и Apache
Остановите выполнение процессов php для пользователя сайта
В консоли выполните поиск и удаление всех файлов .htaccess и texts.php (файлы cache.php или index.php трогать не надо)
Выполните поиск файлов созданных или модифицированных 30.04.2026
Аккуратно удалите с помощью FTP клиента или менеджера файлов хостинга дублирующие подпапки содержащие в себе файлы - index.php,cache.php,видео и графические файлы
После удаления выполните команду поиска файлов повторно
Положите в корень файл .htaccess с кодом по умолчанию для 1С-Битрикс или файл с учетом требований к вашему хостингу или проекту
Измените файл index.php в корне удалив в нем обфусцированный код, он находит в начале файла, удаляйте его вместе с тегами

По окончанию действий выполните перезагрузку сервера чтобы восстановить все остановленные процессы. После чего войдите в панель администратора и обновите базовый модуль для решений INTEC до версии 1.2.30 от 30.04.2026. Обновление можно сделать только на активной лицензии 1С-Битрикс. Если ваша лицензия неактивна обратитесь к профильным специалистам для устранения проблем с безопасностью модуля. Или приобретите продление технической поддержки платформы 1С-Битрикс.

Дополнительная информация о вредоносном коде:
Вирус в целом не несет каких-то необратимых последствий для сайта так как не совместим с платформой 1С-Битрикс. Сайт перестает открываться. Нет возможности попасть в панель администратора. Однако долгий простой сайта в таком режиме может вызвать падение позиций в поисковых сетях и дать сайту пометку "заражен вирусом".