Что проверять после заражения сайта на Битрикс
Удалить найденный файл недостаточно. Нужно определить точку входа, период компрометации, затронутые данные и подтвердить чистоту восстановленной версии.
Антивирусный сканер обычно показывает следствие — изменённый PHP-файл, внедрённый JavaScript или неизвестный администратор. Если удалить только находку, оставленный планировщик, украденный пароль или уязвимый модуль снова восстановит заражение.
1. Ограничьте ущерб
Переведите сайт в контролируемый режим, ограничьте административный доступ, остановите подозрительные задачи и при необходимости изолируйте сервер от исходящих соединений. Решение зависит от бизнеса: иногда безопаснее показать техническую страницу на чистом контуре, чем продолжать работу заражённого приложения.
2. Определите период и точку входа
Сопоставьте время изменения файлов с журналами веб-сервера, авторизации, SSH, панели хостинга и обновлений. Проверьте уязвимые модули, загруженные файлы, скомпрометированные учётные записи и публичные служебные скрипты.
3. Проверьте постоянство
- cron, systemd timers и задания панели;
- агенты Битрикс и обработчики событий;
- новые администраторы, API-ключи и вебхуки;
.user.ini,.htaccess, bootstrap-файлы и автозагрузка;- изменения шаблонов, компонентов и базы данных;
- неизвестные процессы, контейнеры и SSH-ключи.
4. Сравните с доверенной версией
Ядро сравнивайте с официальным дистрибутивом той же версии, пользовательский код — с репозиторием, данные — с последней проверенной копией. Дата файла не является доказательством чистоты: злоумышленник может сохранить timestamp.
5. Смените секреты
После изоляции смените пароли администраторов, SSH, базы, SMTP, интеграций и вебхуков. Отзывайте активные сессии. Смена пароля на заражённой машине до очистки может раскрыть новый секрет.
6. Восстановите и закройте причину
Предпочтительный путь — новый чистый контур, проверенная копия, обновлённые модули и только затем возврат данных. Удаление бэкдора без устранения уязвимости не завершает инцидент.
7. Наблюдайте после запуска
Контролируйте изменения файлов, новые учётные записи, исходящий трафик, ошибки, нагрузку и результаты внешнего сканирования. Оформите хронологию и список затронутых данных; при риске утечки персональных данных подключите ответственных за правовую оценку.
Завершённое восстановление отвечает на четыре вопроса: как вошли, что изменили, какие данные могли затронуть и почему повторный вход теперь закрыт.