Файл вида cca61f866479.php на сайте Битрикс с очень большим шансом является вредоносным (вебшелл или бэкдор).
Обычно такие файлы имеют случайные имена (набор букв/цифр) и позволяют злоумышленникам выполнять команды на сервере или загружать новые вирусы.
Что делать прямо сейчас
-
Не открывайте подозрительный файл в браузере.
Он может выполнять произвольный код. -
Проверьте содержимое файла.
Скорее всего, там есть:-
eval(base64_decode(...)) -
gzuncompress(base64_decode(...)) -
preg_replace('/.*/e', ...) -
или скрытые функции, работающие как бэкдор.
-
-
Удалите этот файл с сервера, но сначала сохраните копию (для анализа, если нужно).
-
Проверьте остальные файлы проекта.
Вирусы редко ограничиваются одним файлом. Чаще всего закладки раскиданы поbitrix/modules/,upload/, а также могут внедряться вindex.phpили шаблоны.Можно искать по SSH командой:
grep -R --include="*.php" "base64_decode" /var/www/your_site/ grep -R --include="*.php" "eval(" /var/www/your_site/ grep -R --include="*.php" "gzuncompress" /var/www/your_site/Это даст список подозрительных мест.
-
Проверьте права на папки и файлы.
Установите правильные права:find /var/www/your_site/ -type f -exec chmod 644 {} \; find /var/www/your_site/ -type d -exec chmod 755 {} \;и убедитесь, что PHP не имеет права на запись в системные файлы Bitrix.
-
Поменяйте все пароли:
-
FTP/SSH
-
Админка Битрикс
-
БД
-
Хостинг-панель
-
-
Включите антивирусную проверку.
Если используете BitrixVM — есть встроенный сканер:/opt/webdir/bin/bx-sites audit <имя_сайта>Или используйте внешний (например,
virusdie,ImunifyAV,clamscan).