На что еще обратить внимание:
1. htaccessВ папке upload файл htaccess c
эталонного сайта в корне сайта должна иметь вид:
| Код |
|---|
<IfModule mod_mime.c>
<Files ~ \.(php|php3|php4|php5|php6|php7|phtm|phtml|pl|asp|aspx|cgi|dll|exe|shtm|shtml|fcg|fcgi|fpl|asmx|pht|py|psp|rb|var)>
SetHandler text/plain
ForceType text/plain
</Files>
</IfModule>
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
|
На
сайте после вирусной атаки имел вид:
| Код |
|---|
<IfModule mod_mime.c>
RemoveHandler .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
AddType text/plain .php .php3 .php4 .php5 .php6 .phtml .pl .asp .aspx .cgi .dll .exe .shtm .shtml .fcg .fcgi .fpl .asmx .pht
</IfModule>
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
|
Техподдержка Битрикс порекомендовала поменять.
2. Файлы .access.phpМогут содержать разрешения на запись на несуществующую группу.
3. В корне сайта вирусные файлы с именами:.500.php
content.php
4. Внутри папок встречаются вирусные скрипты с именами в виде абракадабры/bitrix/components/bitrix/main.calendar/
/bitrix/components/bitrix/main.auth.changepasswd/
5. В папке /bitrix/admin
маскируется под нормальный файл
blog_lothsome.php
Такого файла не должно быть, вирусное содержание.
Хорошо все ищется антивирусным сканнером с маркетплейса, кроме файлов htaccess и access
Политика конфиденциальности