Уязвимости битрикса

В текущий момент наблюдаются массовые взломы сайтов, сделанных на Битриксе.

Известно, что уязвимости есть в старых версиях модулей vote и html_editor, а также в старых версиях ядра.

Одним из симтомов взлома является надпись “Forbidden” вместо любой страницы в админке Битрикса или подкаталогах сайта, или серая страница после авторизации в админке.

Для того, чтобы восстановить сайт, нужно:

1. Зайти по ssh и выполнить команду ps aux. Она покажет список запущенных процессов, среди них будет один подозрительный, он может выглядеть, например, так:

   /usr/lib/php7.1/bin/php /home/***/www/***.ru/lock666.php
   

   Второй столбец в выводе команды ps aux - номер процесса.

2. Принудительно завершить найденные процессы из п.1. Выполните команду kill -9 НОМЕР_ПРОЦЕССА, где НОМЕР_ПРОЦЕССА - число из предыдущего шага.

   Завершить все подобные процессы можно командой

   ps aux | grep "lock666" | grep -v grep | awk '{print $2}' | xargs kill -9
   

   Процесс не обязательно будет называться lock666.php, используйте имена процессов, которые вы увидите в п.1.

   Это безопасное действие, вы можете завершить любой процесс, который вам доступен.

3. После этого можно в контрольной панели восстановить файлы из бекапа (кликнуть на сайт → восстановить → выбрать по дате снапшот, в котором еще нет проблем, дождаться завершения восстановления).

   Если список снапшотов не загрузился с первого раза - обновите страницу.

   Восстановить достаточно только файлы, базу данных восстанавливать необходимости нет.

4. Затем нужно зайти в админку битрикса → “Обновление платформы” → “Проверить обновления” и обновить всё до последней версии.

   Заказать продление Битрикса можно через нас, 10% от стоимости заказа вернётся на счёт в личном кабинете. Подробнее

5. Проверьте сайт бесплатным модулем Поиск троянов.