Вирусы на сайте битрикс типа cca61f866479.php

Файл с именем типа cca61f866479.php (набор случайных шестнадцатеричных символов) на сайте под управлением 1С-Битрикс — это почти со 100% вероятностью вредоносный скрипт (вирус/веб-шелл). Легитимные файлы Битрикса так не называются.  

    // Примеры вредоносных файлов (НЕ создавать на сайте!):
    // /upload/cca61f866479.php
    // /bitrix/cache/a3f5d9e2.php
  

Какой вред они несут?

• Полный контроль над сайтом: Злоумышленник получает доступ к файловой системе. Он может удалять, изменять или загружать любые файлы, создавать новых администраторов.
• Кража данных: Скрипт может считывать конфигурационные файлы (например, dbconn.php), чтобы украсть пароли от базы данных, почты, FTP и платежных систем.
• SEO-спам (Скрытые ссылки): Вирус может автоматически добавлять на страницы вашего сайта ссылки на казино, аптеки или порно-ресурсы. Это делается для продвижения чужих сайтов, а ваш сайт попадает под фильтры поисковиков (Google/Yandex) и теряет позиции.
• Редиректы (Перенаправления): Посетители вашего сайта могут автоматически перенаправляться на мошеннические ресурсы. Часто это работает только для определенных IP или User-Agent (например, только для поисковых роботов или только для мобильных пользователей).
• Использование ресурсов сервера: Ваш хостинг могут использовать для рассылки спама, майнинга криптовалюты или участия в DDoS-атаках. Это может привести к блокировке сайта хостинг-провайдером.
• Заражение посетителей: Скрипт может пытаться эксплуатировать уязвимости в браузерах посетителей, чтобы заразить их компьютеры.
• Порча ядра Битрикс: Вирусы часто прописываются в системные файлы (/bitrix/modules/..., /local/php_interface/init.php), чтобы запускаться даже после удаления основного файла-вредителя.

Почему имя такое странное?

Имя вида cca61f866479.php (хеш-сумма или случайный набор символов) используется злоумышленниками для:
1. Маскировки: Чтобы файл не бросался в глаза среди других системных файлов.
2. Уникализации: Чтобы антивирусы не могли найти их по простым сигнатурам имен.
3. Автоматизации: Скрипты заражения часто генерируют такие имена автоматически.
Где они обычно прячутся на Битриксе:
• В корне сайта.
• В папке /upload/ (особенно в подпапках с картинками).
• В папке /bitrix/cache/ или /bitrix/stack_cache/.
• Рядом с файлом index.php.

Почему нельзя просто удалить этот файл?

Это самая частая ошибка. Удаление одного файла cca61f866479.php не вылечит сайт.

• Загрузчик (Loader): Обычно на сайте есть другой, скрытый файл (часто в системных папках Битрикса или в init.php), который проверяет наличие этого вируса. Если вы удалите вирус, загрузчик скачает его снова через несколько минут или часов.
• Задача в Cron: Вирус мог прописать задачу в планировщик сервера или в агенты Битрикса, которая восстанавливает файл.
• Взломанная учетка: Если вы не смените пароли, злоумышленник загрузит файл снова через админ-панель. 

План действий по лечению

1. Сделайте бэкап: Сохраните текущее состояние сайта и базу данных (на случай, если лечение сломает сайт).
2. Сканирование:
   • Используйте модуль «Проактивная защита» в самом Битриксе (если есть лицензия).
   • Скачайте и запустите бесплатный сканер AI-Bolit (специализируется на CMS, в т.ч. Битрикс). Он найдет не только этот файл, но и зараженные системные файлы.
3. Проверка системных файлов:
   • Проверьте файл /local/php_interface/init.php и /bitrix/php_interface/init.php на наличие постороннего кода (часто там бывает eval, base64_decode, preg_replace с непонятными строками).
   • Проверьте файл /bitrix/modules/main/include.php.
4. Смена паролей: Смените ВСЕ пароли:
   • От админки Битрикс.
   • От FTP/SFTP.
   • От базы данных (и обновите их в dbconn.php).
   • От хостинг-панели.
5. Проверка пользователей: Зайдите в список пользователей Битрикса и удалите всех администраторов, которых вы не создавали.
6. Обновление: Обновите ядро Битрикс и все установленные модули до последних версий. Часто вирусы проникают через старые уязвимости.
7. Проверка логов: Посмотрите логи доступа (access.log), чтобы понять, через какой файл произошло заражение (часто это уязвимый компонент или форма загрузки).

Как предотвратить повторное заражение?

• Включите «Проактивную защиту» в Битриксе.
• Запретите выполнение PHP в папках загрузки. В настройках веб-сервера (Nginx/Apache) запретите выполнение скриптов в директориях /upload/, /images/, /bitrix/cache/. Там должны лежать только картинки и статика.
• Регулярно обновляйте систему.
• Используйте сложные пароли и двухфакторную аутентификацию для администраторов.
• Настройте файл .htaccess для ограничения доступа к чувствительным файлам.

Что делать прямо сейчас

1. Не открывайте подозрительный файл в браузере.
   Он может выполнять произвольный код.

2. Проверьте содержимое файла.
   Скорее всего, там есть:

   •  

     eval(base64_decode(...))

   •  

     gzuncompress(base64_decode(...))

   •  

     preg_replace('/.*/e', ...)

   •  

     или скрытые функции, работающие как бэкдор.

3. Удалите этот файл с сервера, но сначала сохраните копию (для анализа, если нужно).

4. Проверьте остальные файлы проекта.
   Вирусы редко ограничиваются одним файлом. Чаще всего закладки раскиданы по bitrix/modules/, upload/, а также могут внедряться в index.php или шаблоны.

   Можно искать по SSH командой:

   
   grep -R --include="*.php" "base64_decode" /var/www/your_site/
   grep -R --include="*.php" "eval(" /var/www/your_site/
   grep -R --include="*.php" "gzuncompress" /var/www/your_site/
   
   

   Это даст список подозрительных мест.

5. Проверьте права на папки и файлы.
   Установите правильные права:

   
   find /var/www/your_site/ -type f -exec chmod 644 {} \;
   find /var/www/your_site/ -type d -exec chmod 755 {} \;
   
   

   и убедитесь, что PHP не имеет права на запись в системные файлы Bitrix.

6. Поменяйте все пароли:

   •  

     FTP/SSH

   •  

     Админка Битрикс

   •  

     БД

   •  

     Хостинг-панель

7. Включите антивирусную проверку.
   Если используете BitrixVM — есть встроенный сканер:

   
   /opt/webdir/bin/bx-sites audit <имя_сайта>
   
   

   Или используйте внешний (например, virusdie, ImunifyAV, clamscan).