Для начала необходимо выяснить, на самом ли деле на сайте присутствует ссылка на вирус или произошло ложное срабатывание.
Работа веб-антивируса основана на эвристическом анализе потенциально опасных блоков в html коде. Количество ложных срабатываний веб-антивируса минимально, но, к сожалению, ложные срабатывания все равно встречаются.
Итак, ключевое отличие блоков, действительно содержащих ссылки на вирусы, от легитимных блоков, вызывающих ложные срабатывания — это то, что легитимные блоки были явно добавлены вашим программистом. Кто же добавил «вирусные» блоки, и откуда они взялись, вы не знаете.
В целом, распознавание «вирусных» и легитимных блоков может быть нетривиальной задачей даже для человека. Сканирование этих блоков персональными антивирусами тоже, как правило, не дает результата, так как такие блоки html кода не содержат собственно вирусы или трояны, а содержат лишь ссылки на них.
Итак, если вы уверены, что блок, на который срабатывает веб-антивирус 1С-Битрикса, легитимный и не содержит ссылки на загрузку вирусов, то данное срабатывание антивируса является ложным. В этом случае вам необходимо взять некоторую строку из этого блока (достаточно длинную и достаточно уникальную) и добавить ее в исключения веб-антивируса. В результате, антивирус перестанет срабатывать на любые, обрабатываемые им блоки, содержащие указанную строку.
Если же блок содержит ссылку на вирус, то все сложнее. Так как наличие стороннего кода на вашем сервере означает, что произошла компрометация веб-сервера, и к файлам на вашем сервере мог получить доступ злоумышленник. В подавляющем большинстве случаев, наличие «вирусных» блоков, на которые срабатывает веб-антивирус 1С-Битрикса, означает, что какой-либо компьютер вашего администратора, вебмастера или программиста (и т.п.), имеющий доступ на сервер через FTP (SSH, SFTP и т.п.), заражен вирусом, и с него был похищен пароль от сервера.
Потому при обнаружении вируса на сайте, необходимо проверить все компьютеры людей, имеющих доступ к сайту (в том числе к панели администрирования 1С-Битрикса), персональным антивирусным программным обеспечением.
После того, как все такие компьютеры были вылечены, необходимо сменить все пароли от вашего сервера (пароли на FTP, SSH, в том числе рутовые пароли, если у вас есть рутовый доступ на сервер, пароли к базе данных, пароли пользователей в 1С-Битриксе, имеющих доступ к админке).
Затем следует вычистить весь сторонний код на сервере. Проще всего для отслеживания изменившихся файлов использовать контроль целостности файлов 1С-Битрикса. Но это только в том случае, если вы заранее озаботились безопасностью и периодически запускаете контроль целостности файлов.
Если же вы не используете контроль целостности, то в общем случае поиск всех изменений, оставленных хакером, может быть нетривиальной задачей.
Для поиска таких изменений, можно провести поиск по всем файлам на сервере, содержащим строки из блока, на который сработал веб-антивирус. Поиск и ручная проверка всех недавно изменившихся файлов. Анализ логов http сервера.
В целом остается надеяться, что ваш хакер оказался не слишком хитрым, ограничился внедрением ява-скриптов со ссылками на вирус и не оставил за собой скрытых бекдоров. И хотя на практике скрытые бекдоры оставляются не слишком часто, такие случаи иногда бывают. Кроме того, у хакеров есть множество приемов сокрытия бекдоров на веб сайте, которые приводят к значительному затруднению автоматического обнаружения таких бекдоров.
Если после всех выполненных рекомендаций инциденты с вашим сайтом продолжают регулярно случаться, значит где-то на сервере имеется такой труднообнаружимый бекдор.
Немного подробнее, на страницу добавил в скрытый div уникальный хеш и прописал подстроку с этим хешем в исключения, но антивирус по прежнему ругается?
сделал так
<span class="hash_no_virus_view" style="display:none;">NDUzdGRmZGZoNXI1eWRmZ2R0NmRmZ2RmZ2VyNDZ0MzR0Z2Rmc2dkeTU0eWdkZmc1ZXRnZXNy</span>
и NDUzdGRmZGZoNXI1eWRmZ2R0NmRmZ2RmZ2VyNDZ0MzR0Z2Rmc2dkeTU0eWdkZmc1ZXRnZXNyпрописан в исключениях