Что делать, если сайт на 1С‑Битрикс заражён вирусами

1. Первичные меры: сохраняем доступ и блокируем угрозу

• Сразу заблокируйте сайт: замените рабочую версию заглушкой или активируйте maintenance-режим. Это защитит пользователей от заражённого контента.

• Сделайте резервную копию (файлы и базу); даже если есть заражение, бэкап пригодится для анализа или восстановления

2. Диагностика заражения

• Через FTP/SSH проверьте наличие файлов .htaccess с правами 444 — вирусы часто маскируются через них. Также ищите подозрительные файлы (например wp-content.php, siteheads.php, папки wp‑includes/ или assets/images/) .

• Используйте доступ к логам веб-сервера и FTP, чтобы определить IP-адреса, с которых происходило заражение, и понять механизм атаки.

3. Очистка сайта

A. Удаление заражённых .htaccess

• Удалите все файлы .htaccess с правами 0444 командой:
  find . -type f -perm 0444 -name ".htaccess" -delete

• Затем восстановите стандартный .htaccess из дистрибутива Bitrix или бэкапа.

B. Автоматическое сканирование

• Установите модуль Bitrix.Xscan (Поиск троянов) из маркетплейса и выполните сканирование.

• Запустите встроенные средства Битрикс: Проактивная защита, Веб-антивирус и Сканер безопасности (security_antivirus.php, security_scanner.php) stopvirus.by+5Логачев+5Digital Rocket+5.

C. Ручная проверка

• Найдите файлы с подозрительным содержимым: PHP‑файлы с iframe, eval, base64, unescape и т.п. Можно использовать SSH:

  perl

  КопироватьРедактировать

  find . -name "*.php" | xargs grep -rlE '[A-Za-z0-9]{50,}'
grep -rlE '...{2,3}' .


• Удалите странные файлы с именами вроде sdfkjh30jisdg9.php, папки wp_…, заражённые копии bx_root.php, а также заражённые агенты с eval-кодом из раздела «Агенты» в админке Bitrix

• Убедитесь, что вредоносные агенты и почасовые cron-задачи больше не работают — при необходимости перезагрузите сервер, чтобы отключить активные вредоносные процессы .

4. Восстановление и поддержание работоспособности

• Очистите кеш Bitrix: вручную удалите содержимое папок /bitrix/cache и /bitrix/manage_cache, либо сделайте это через админку. Проверьте работоспособность админки и функций сайта. Повторите сканирование модулем Xscan и средствами защиты, чтобы убедиться, что вирусов больше нет .

5. Закрытие уязвимостей и обновления

• Обязательно обновите платформу 1С-Битрикс и сторонние модули, включая AСПРО, esol.importxml, esol.importexcel и другие устаревшие — они часто используются для атак

• Если автоматическое обновление невозможно, примените патчи вручную (например, закрывающие небезопасное использование unserialize), особенно в шаблонах AСПРО.

6. Укрепление защиты на будущее

• Смените пароли доступа ко всем сервисам: FTP, SSH, админка Bitrix, администраторы сайта — особенно после заражения

• Проверьте компьютеры администраторов на наличие вирусов и троянов (особенно если FTP-клиент сохранён пароль), иначе заражение может повториться

• Настройте ограничения доступа по IP, отключите авто‑запись логинов в FTP-клиентах, включите двухфакторную аутентификацию, регулярные аудиты прав и планировщика cron

🧾 Итоговый чек‑лист

Если вы не до конца уверены в своих силах или заражение сильное — лучше обратиться к опытным специалистам по безопасности. Правильная и своевременная очистка предотвратит дальнейшие атаки и восстановит доверие пользователей к вашему сайту.