Уязвимости битрикса
2023-02-28
В текущий момент наблюдаются массовые взломы сайтов, сделанных на Битриксе.
Известно, что уязвимости есть в старых версиях модулей vote
и html_editor
, а также в старых версиях ядра.
Одним из симтомов взлома является надпись “Forbidden” вместо любой страницы в админке Битрикса или подкаталогах сайта, или серая страница после авторизации в админке.
Для того, чтобы восстановить сайт, нужно:
-
Зайти по ssh и выполнить команду
ps aux
. Она покажет список запущенных процессов, среди них будет один подозрительный, он может выглядеть, например, так:/usr/lib/php7.1/bin/php /home/***/www/***.ru/lock666.php
Второй столбец в выводе команды
ps aux
- номер процесса. -
Принудительно завершить найденные процессы из п.1. Выполните команду
kill -9 НОМЕР_ПРОЦЕССА
, где НОМЕР_ПРОЦЕССА - число из предыдущего шага.Завершить все подобные процессы можно командой
ps aux | grep "lock666" | grep -v grep | awk '{print $2}' | xargs kill -9
Процесс не обязательно будет называться
lock666.php
, используйте имена процессов, которые вы увидите в п.1.Это безопасное действие, вы можете завершить любой процесс, который вам доступен.
-
После этого можно в контрольной панели восстановить файлы из бекапа (кликнуть на сайт → восстановить → выбрать по дате снапшот, в котором еще нет проблем, дождаться завершения восстановления).
Если список снапшотов не загрузился с первого раза - обновите страницу.
Восстановить достаточно только файлы, базу данных восстанавливать необходимости нет.
-
Затем нужно зайти в админку битрикса → “Обновление платформы” → “Проверить обновления” и обновить всё до последней версии.
Заказать продление Битрикса можно через нас, 10% от стоимости заказа вернётся на счёт в личном кабинете. Подробнее
-
Проверьте сайт бесплатным модулем Поиск троянов.