Готовый пошаговый чек-лист очистки Bitrix от вирусов

Пошаговый чек-лист очистки Bitrix от вирусов

1. Изоляция

• Переведите сайт во временный тех.режим (в Битриксе или просто .htaccess с ограничением по IP).

• Отключите все ненужные FTP-аккаунты.

2. Сканирование и поиск вредоносных файлов

Через консоль:

# Ищем eval, base64_decode, gzuncompress и подобное
grep -R --include="*.php" "eval(" /var/www/bitrix/ > /root/eval.txt
grep -R --include="*.php" "base64_decode" /var/www/bitrix/ > /root/base64.txt
grep -R --include="*.php" "gzuncompress" /var/www/bitrix/ > /root/gz.txt
grep -R --include="*.php" "preg_replace.*e" /var/www/bitrix/ > /root/preg_replace.txt

Если BitrixVM:

/opt/webdir/bin/bx-sites audit site_name

(проверка целостности и вирусов)

Внешние сканеры:

• Virusdie

• ImunifyAV

• clamscan (open-source).

3. Анализ и удаление

• Все файлы с случайными названиями (cca61f866479.php, a8sd9f.php, post.php в /upload/) → удалить.

• Если код выглядит как:

  <?php eval(base64_decode('...')); ?>
  

  или

  <?php @include($_POST['cmd']); ?>
  

  → это вебшелл → удалить.

• Если заражён системный файл (/bitrix/modules/, /bitrix/php_interface/init.php), проще заменить его из оригинального дистрибутива Bitrix.

4. Проверка и восстановление

• Скачайте чистую версию ядра Битрикс с официального сайта.

• Перезапишите папки:

  /bitrix/modules/
  /bitrix/admin/
  /bitrix/js/
  /bitrix/tools/
  

  — это восстанавливает ядро.

5. Чистка upload/ и кастомного кода

• Папка /upload/ часто заражается, особенно .php-файлами → оставляем только медиа (jpg, png, pdf, doc и т.д.), удаляем php/ico/js с подозрительным кодом.

• Проверить /local/, /bitrix/templates/ (там могут быть закладки).

6. Очистка БД

• Вирус может храниться в БД (в опциях или шаблонах писем).

• Проверить таблицу b_option (ищем <script>, base64_decode, iframe).

• Проверить почтовые шаблоны в админке.

7. Сброс доступа

• Сменить пароли:

  • FTP / SSH

  • Админка Битрикс

  • MySQL

  • Хостинг-панель

• Обновить ключи SSH.

8. Настройка защиты

1. Права на файлы:

   find /var/www/bitrix/ -type f -exec chmod 644 {} \;
   find /var/www/bitrix/ -type d -exec chmod 755 {} \;
   

   PHP не должен иметь права на запись в /bitrix/modules/.

2. Отключить выполнение PHP в /upload/:
   В .htaccess:

   <FilesMatch "\.php$">
       Deny from all
   </FilesMatch>
   

3. Включить защиту ядра Битрикс:
   В админке: Настройки → Проактивная защита.

4. Настроить регулярный аудит:

   /opt/webdir/bin/bx-sites audit site_name
   

5. Автоматическое обновление CMS.

9. Мониторинг

• Установить Fail2ban или Bitrix Security Scanner.

• Включить оповещения о добавлении новых файлов (inotify, auditd).

✅ После этого сайт будет полностью очищен и защищён.