Вы заходите на свой сайт, а антивирус ругается на троян. Или хостинг-провайдер присылает «письмо счастья» о блокировке аккаунта за рассылку спама. Или, копаясь в файлах, вы находите странный скрипт с названием вроде txets.php, sess.php или admin_ajaxx.php, который вы точно не создавали.
Диагноз очевиден: ваш сайт взломали.
Первое правило в такой ситуации — не паниковать. Взламывают всех: от маленьких блогов до корпоративных порталов. В этой статье мы разберем пошаговый алгоритм действий, который поможет вылечить сайт, найти причину заражения и сделать так, чтобы хакеры к вам больше не вернулись.
txets.php сам по себе не является вирусом, так как расширение .php означает, что это серверный скрипт на языке PHP. Однако сочетание имени и расширения в вашем случае выглядит крайне подозрительно и часто указывает на заражение сайта или сервера.🔍 Почему txets.php вызывает подозрения?
- Опечатка в названии:
txets→ явная искажённая версия словаtexts. Хакеры часто используют такие опечатки, чтобы файл сливался с легитимными, но не повторял их имена. - Типичное имя для вредоносных скриптов: В скомпрометированных сайтах (WordPress, Joomla, самописных CMS) часто появляются файлы с подобными названиями:
txts.php,txets.php,configx.php,tmp_*.phpи т.д. - Часто размещается в неожиданных папках:
/uploads/,/tmp/,/cache/, корень сайта или папки тем/плагинов.
⚠️ Что может делать такой файл?
В зависимости от кода внутри,txets.php может быть:|
Тип угрозы |
Что делает |
|---|---|
|
🕷️ Веб-шелл (Web Shell) |
Позволяет злоумышленнику выполнять команды на сервере, загружать/удалять файлы, управлять БД |
|
📧 Спам-рассыльщик |
Отправляет тысячи писем с вашего сервера (часто через mail() или SMTP) |
|
🔀 Редирект-скрипт |
Перенаправляет посетителей на фишинговые или рекламные сайты |
|
🔑 Бэкдор / Дроппер |
Открывает постоянный доступ, скачивает и запускает другой вредоносный код |
|
⛏️ Криптомайнер |
Использует ресурсы сервера для майнинга (реже, но встречается) |
Файл
txets.php — не просто странный PHP-файл, а потенциальная угроза безопасности вашего сайта на Битрикс. Его появление сигнализирует о взломе или попытке взлома. Регулярная проверка сайта, обновления CMS и внимательное отношение к файлам и модулям помогут избежать проблем и защитить ваши данные.Шаг 1. Скорая помощь: изоляция и бэкап
Самая частая ошибка владельцев сайтов — начать хаотично удалять подозрительные файлы. Делать этого категорически нельзя! Вы можете случайно удалить системный файл и «положить» сайт окончательно, либо уничтожить следы, которые помогли бы найти дыру в безопасности.
- Сделайте резервную копию (бэкап) прямо сейчас. Да, это будет бэкап зараженного сайта. Он нужен для расследования (форензики), если вы решите привлечь специалистов. Скачайте архив к себе на компьютер.
- Закройте сайт от посетителей. Если вирус перенаправляет мобильных пользователей на казино или пытается скачать им на телефоны вредоносное ПО, лучше временно повесить заглушку «Сайт на техническом обслуживании». Это спасет вашу репутацию и SEO-позиции (поисковики быстро банят зараженные ресурсы).
Шаг 2. Поиск и зачистка: как найти заразу
Хакеры редко оставляют один файл. Обычно вредоносный код прячется в нескольких местах. Тот самый txets.php — это, скорее всего, веб-шелл (бэкдор). Это пульт управления, через который злоумышленник может скачивать вашу базу данных или грузить новые вирусы.
Как искать вредоносный код:
- Ищите «соседей» по дате. Посмотрите дату и время создания найденного вирусного файла. Отсортируйте все файлы на сервере по этому времени. С вероятностью 90% вы найдете еще пачку скрытых скриптов, залитых в ту же минуту.
- Проверьте системные файлы. Вирусы часто прописываются в
index.php,.htaccessили в файлы шаблона (header/footer), чтобы загружаться при каждом открытии страницы. - Используйте встроенные сканеры CMS. Если у вас 1С-Битрикс, зайдите в Настройки → Проактивная защита → Сканер безопасности и запустите проверку. Также обязательно сделайте Контроль целостности — он покажет, не изменил ли хакер системные файлы ядра.
- Запустите серверный антивирус. На многих хостингах есть встроенные утилиты вроде ImunifyAV или AI-Bolit. Запустите полное сканирование директории сайта.
Совет: Найденные вирусы лучше не удалять сразу, а переименовывать (например, из txets.php в txets.php.suspect) или перемещать в отдельную папку вне корня сайта.
Шаг 3. Закрываем дыру (Самый важный этап!)
Удалить вирусы — это только 10% работы. Если вы просто удалите вредоносные файлы, хакер вернется через час и загрузит их снова через ту же самую уязвимость. Вам нужно закрыть окно, через которое он влез.
Как вирусы попадают на сайт?
- Устаревшая CMS. В старых версиях Битрикс, WordPress, Joomla регулярно находят критические уязвимости.
- Дырявые плагины/модули. Скачали бесплатный модуль из сомнительного источника? Почти наверняка в нем зашит бэкдор.
- Уязвимость в папке загрузок. Часто хакеры загружают PHP-скрипт под видом картинки (например,
avatar.php) через форму обратной связи или профиль пользователя.
Что делать:
- Обновите CMS до последней версии. Если лицензия истекла — продлите. Обновления безопасности критически важны.
- Обновите все сторонние модули и плагины. Удалите те, которые вы не используете.
- Настройте файл
.htaccessв папке загрузок (например,/upload/в Битриксе), чтобы строго запретить выполнение PHP-скриптов в этой директории.
Шаг 4. Смена всех замков
После того как сайт очищен, а уязвимости закрыты, необходимо сменить абсолютно все пароли. Хакер мог успеть их украсть.
Обязательно поменяйте:
- Пароли всех администраторов в панели управления сайтом.
- Пароль от базы данных (в Битриксе он лежит в
bitrix/php_interface/dbconn.phpиbitrix/.settings.php). - Пароли от FTP / SFTP / SSH.
- Пароль от панели управления хостингом.
Также проверьте список пользователей в админке: не создал ли хакер себе скрытого администратора с почтой вроде hacker@mail.com?
Шаг 5. Профилактика: как не допустить повторения
Чтобы больше не тратить выходные на борьбу с невидимым врагом, внедрите базовую гигиену безопасности:
- Регулярные бэкапы. Настройте автоматическое резервное копирование каждый день. Храните бэкапы на другом сервере или в облаке, а не там же, где лежит сайт.
- Двухфакторная аутентификация (2FA). Включите ее для входа в админку.
- Web Application Firewall (WAF). Используйте проактивную защиту (встроенную в CMS или на уровне хостинга), которая будет блокировать подозрительные запросы еще до того, как они достигнут сайта.
Резюме
Лечение сайта от вирусов — это комплексная задача. Если вы не уверены в своих силах, не знаете, как читать логи сервера (access.log) и боитесь сломать базу данных, лучше обратитесь к профильным специалистам по информационной безопасности.
Очистка сайта профессионалом стоит дешевле, чем потерянные заказы, заблокированный рекламный кабинет и испорченная репутация в глазах клиентов.
А вы когда-нибудь сталкивались с вирусами на сайте? Делитесь своим опытом в комментариях!