Уязвимости битрикса

2023-02-28

В текущий момент наблюдаются массовые взломы сайтов, сделанных на Битриксе.

Известно, что уязвимости есть в старых версиях модулей vote и html_editor, а также в старых версиях ядра.

Одним из симтомов взлома является надпись “Forbidden” вместо любой страницы в админке Битрикса или подкаталогах сайта, или серая страница после авторизации в админке.

Для того, чтобы восстановить сайт, нужно:

  1. Зайти по ssh и выполнить команду ps aux. Она покажет список запущенных процессов, среди них будет один подозрительный, он может выглядеть, например, так:

    /usr/lib/php7.1/bin/php /home/***/www/***.ru/lock666.php
    

    Второй столбец в выводе команды ps aux - номер процесса.

  2. Принудительно завершить найденные процессы из п.1. Выполните команду kill -9 НОМЕР_ПРОЦЕССА, где НОМЕР_ПРОЦЕССА - число из предыдущего шага.

    Завершить все подобные процессы можно командой

    ps aux | grep "lock666" | grep -v grep | awk '{print $2}' | xargs kill -9
    

    Процесс не обязательно будет называться lock666.php, используйте имена процессов, которые вы увидите в п.1.

    Это безопасное действие, вы можете завершить любой процесс, который вам доступен.

  3. После этого можно в контрольной панели восстановить файлы из бекапа (кликнуть на сайт → восстановить → выбрать по дате снапшот, в котором еще нет проблем, дождаться завершения восстановления).

    Если список снапшотов не загрузился с первого раза - обновите страницу.

    Восстановить достаточно только файлы, базу данных восстанавливать необходимости нет.

  4. Затем нужно зайти в админку битрикса → “Обновление платформы” → “Проверить обновления” и обновить всё до последней версии.

    Заказать продление Битрикса можно через нас, 10% от стоимости заказа вернётся на счёт в личном кабинете. Подробнее

  5. Проверьте сайт бесплатным модулем Поиск троянов.