Что делать при обнаружении взлома сайта на 1С Битрикс? Практические рекомендации
posted in Bitrix, взлом и безопасность |
Волею судеб попал на ветку официального форума 1С Битрикс по взлому данной системы управления сайтом — как то в давнее время несколько клиентов были взломаны, пришлось вникать в тему.
Собственно, тема актуальна и по сей день — в форум постоянно приходят новые люди с той же самой проблемой.
«Сайт на движке Битрикс взломали — что делать?»
Накидал в ветке небольшую инструкцию
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message746142/?result=edit#message746142
Продублирую и сюда, и думаю буду пополнять новыми советами, сигнатурами и т.п. В общем аккумулировать всю полезную информацию с ветки.
Итак, рекомендации при взломе сайта:
* Сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения
* Убедиться, что вредоносное ПО в данный момент не запущено (не находится в оперативной памяти). Бывает зараза сидит в памяти и при удалении сама себя сразу же или через некоторое время восстанавливает.
* Сменить все пароли — ssh, ftp, все админские учетные записи на сайте
* Cменить ключи всех API интеграций, если таковые использовались. Проверить доверительные SSH ключи (чтобы не было лишних), для всех пользователей.
* Удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php
* Проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное
* Воспользоваться штатными средствами Проактивная защита
начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru
* Воспользоваться сторонними средствами ( aibolit и т.п.)
* Поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке — конкретный пост не подскажу, давненько было дело — нужно искать. Я по ним много раз находил заразу.
* Посмотреть агентов — чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет — всё равно будет заново создано)
* Добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)
* Поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)
так по горячим следам гораздо проще анализировать логи (например за последние сутки)
* По логам вычислить заразу и прибить
* После чистки — режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)
* Регулярное резервное копирование (желательно не сюда же — в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)
как то так …
P.S.
Так же можно обратиться в саппорт Битрикса — есть случаи когда помогали найти и устранить уязвимость, при наличии актуального ключа поддержка осуществляется бесплатно.
Либо банально найти специалистов по взлому и безопасности и обратиться к ним, но это естественно уже не бесплатно 🙂
Позже будет отдельный пост с полезными linux командами для поиска по датам создания, содержимому, а так же известным сигнатурам для поиска.