Перейти к основному содержанию
Тест-сервис
Обсудить проект
Все материалы
Поддержка безопасность Битрикс заражение сайта восстановление

Что проверять после заражения сайта на Битрикс

Удалить найденный файл недостаточно. Нужно определить точку входа, период компрометации, затронутые данные и подтвердить чистоту восстановленной версии.

Антивирусный сканер обычно показывает следствие — изменённый PHP-файл, внедрённый JavaScript или неизвестный администратор. Если удалить только находку, оставленный планировщик, украденный пароль или уязвимый модуль снова восстановит заражение.

Сначала сохраните доказательства Зафиксируйте время обнаружения, предупреждение, сетевые индикаторы, список процессов и копию журналов. Не запускайте неизвестный файл «для проверки» и не публикуйте логи с секретами.

1. Ограничьте ущерб

Переведите сайт в контролируемый режим, ограничьте административный доступ, остановите подозрительные задачи и при необходимости изолируйте сервер от исходящих соединений. Решение зависит от бизнеса: иногда безопаснее показать техническую страницу на чистом контуре, чем продолжать работу заражённого приложения.

2. Определите период и точку входа

Сопоставьте время изменения файлов с журналами веб-сервера, авторизации, SSH, панели хостинга и обновлений. Проверьте уязвимые модули, загруженные файлы, скомпрометированные учётные записи и публичные служебные скрипты.

3. Проверьте постоянство

  • cron, systemd timers и задания панели;
  • агенты Битрикс и обработчики событий;
  • новые администраторы, API-ключи и вебхуки;
  • .user.ini, .htaccess, bootstrap-файлы и автозагрузка;
  • изменения шаблонов, компонентов и базы данных;
  • неизвестные процессы, контейнеры и SSH-ключи.

4. Сравните с доверенной версией

Ядро сравнивайте с официальным дистрибутивом той же версии, пользовательский код — с репозиторием, данные — с последней проверенной копией. Дата файла не является доказательством чистоты: злоумышленник может сохранить timestamp.

5. Смените секреты

После изоляции смените пароли администраторов, SSH, базы, SMTP, интеграций и вебхуков. Отзывайте активные сессии. Смена пароля на заражённой машине до очистки может раскрыть новый секрет.

6. Восстановите и закройте причину

Предпочтительный путь — новый чистый контур, проверенная копия, обновлённые модули и только затем возврат данных. Удаление бэкдора без устранения уязвимости не завершает инцидент.

7. Наблюдайте после запуска

Контролируйте изменения файлов, новые учётные записи, исходящий трафик, ошибки, нагрузку и результаты внешнего сканирования. Оформите хронологию и список затронутых данных; при риске утечки персональных данных подключите ответственных за правовую оценку.

Завершённое восстановление отвечает на четыре вопроса: как вошли, что изменили, какие данные могли затронуть и почему повторный вход теперь закрыт.