Волею судеб попал на ветку официального форума 1С Битрикс по взлому данной системы управления сайтом — как то в давнее время несколько клиентов были взломаны, пришлось вникать в тему.
Собственно, тема актуальна и по сей день — в форум постоянно приходят новые люди с той же самой проблемой.
«Сайт на движке Битрикс взломали — что делать?»
Накидал в ветке небольшую инструкцию
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message746142/?result=edit#message746142

Продублирую и сюда, и думаю буду пополнять новыми советами, сигнатурами и т.п. В общем аккумулировать всю полезную информацию с ветки.

Итак, рекомендации при взломе сайта:

* Сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения

* Убедиться, что вредоносное ПО в данный момент не запущено (не находится в оперативной памяти). Бывает зараза сидит в памяти и при удалении сама себя сразу же или через некоторое время восстанавливает.

* Сменить все пароли — ssh, ftp, все админские учетные записи на сайте

* Cменить ключи всех API интеграций, если таковые использовались. Проверить доверительные SSH ключи (чтобы не было лишних), для всех пользователей.

* Удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php

* Проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное

* Воспользоваться штатными средствами Проактивная защита
начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru

* Воспользоваться сторонними средствами ( aibolit и т.п.)

* Поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке — конкретный пост не подскажу, давненько было дело — нужно искать. Я по ним много раз находил заразу.

* Посмотреть агентов — чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет — всё равно будет заново создано)

* Добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)

* Поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)

так по горячим следам гораздо проще анализировать логи (например за последние сутки)

* По логам вычислить заразу и прибить

* После чистки — режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)

* Регулярное резервное копирование (желательно не сюда же — в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)

как то так …

P.S.

Так же можно обратиться в саппорт Битрикса — есть случаи когда помогали найти и устранить уязвимость, при наличии актуального ключа поддержка осуществляется бесплатно.

Либо банально найти специалистов по взлому и безопасности и обратиться к ним, но это естественно уже не бесплатно 🙂

Позже будет отдельный пост с полезными linux командами для поиска по датам создания, содержимому, а так же известным сигнатурам для поиска.