Что делать при обнаружении взлома сайта на 1С Битрикс? Практические рекомендации
Волею судеб попал на ветку официального форума 1С Битрикс по взлому данной системы управления сайтом — как то в давнее время несколько клиентов были взломаны, пришлось вникать в тему.
Собственно, тема актуальна и по сей день — в форум постоянно приходят новые люди с той же самой проблемой.
«Сайт на движке Битрикс взломали — что делать?»
Накидал в ветке небольшую инструкцию
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message746142/?result=edit#message746142
Продублирую и сюда, и думаю буду пополнять новыми советами, сигнатурами и т.п. В общем аккумулировать всю полезную информацию с ветки.
Итак, рекомендации при взломе сайта:
* сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения
* сменить все пароли — ssh, ftp, все админские учетные записи на сайте
* воспользоваться штатными средствами Проактивная защита
начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru
* воспользоваться сторонними средствами ( aibolit и т.п.)
* поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке — конкретный пост не подскажу, давненько было дело — нужно искать. Я по ним много раз находил заразу.
* посмотреть агентов — чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет — всё равно будет заново создано)
* так же в памяти не помешает глянуть (или ребутнуть аппача), бывает зараза сидит в памяти и при удалении сама себя сразу же восстанавливает
* добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)
* поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)
так по горячим следам гораздо проще анализировать логи (например за последние сутки)
* по логам вычислить заразу и прибить
* после чистки — режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)
* регулярное резервное копирование (желательно не сюда же — в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)
как то так …
P.S.
Так же можно обратиться в саппорт Битрикса — есть случаи когда помогали найти и устранить уязвимость, при наличии актуального ключа поддержка осуществляется бесплатно.
Либо банально найти специалистов по взлому и безопасности и обратиться к ним, но это естественно уже не бесплатно 🙂
рубрики: Bitrix, взлом и безопасность | Комментарии (0)