Вирус в /ajax/error_log_logic.php: как хакеры заражают сайты на Битрикс и создают бэкдоры

Заказать усугу

Как мы обнаружили вирус и остановили заражение

Недавно мы столкнулись с массовым заражением нескольких сайтов на 1С-Битрикс. После лечения стандартных вирусов (например, через уязвимости в Аспро) бэкдоры продолжали появляться — каждый день в папке /ajax/ создавались новые файлы:

  • 1d861c1d0a00.php

  • 61707a3351d8.php

  • assets/... (скрытые бэкдоры)

Как мы нашли источник?

  1. Проверили даты создания файлов → сопоставили с логами.

  2. Обнаружили, что все атаки шли через /ajax/error_log_logic.php.

  3. После его удаления новые бэкдоры перестали появляться.

Вывод: Вирус скрывался в error_log_logic.php и использовал его для загрузки вредоносных скриптов.

Как работал вирус?

1. Входная точка: error_log_logic.php

Файл выглядел безобидно, но содержал уязвимый код, позволяющий:

  • Записывать PHP-файлы (file_put_contents).

  • Выполнять произвольный код (evalbase64_decode).

Пример вредоносного запроса из логов: 

GET /ajax/error_log_logic.php?data=<?php file_put_contents(".../61707a3351d8.php", base64_decode("PD9waHAg..."));

2. Создание бэкдоров

Хакеры загружали зашифрованные PHP-файлы, которые:

  • Давали доступ к серверу.

  • Позволяли загружать новые вирусы.

  • Распространялись на соседние сайты.

3. Дальнейшее заражение

После внедрения первого бэкдора:

  • Вирус сканировал другие сайты на хостинге.

  • Заражал их через одинаковые уязвимости.

Как обнаружить такой вирус?

1. Проверить папку /ajax/

Искать подозрительные файлы: 

ls -la /ajax/
find /ajax/ -name "*.php" -mtime -7  # файлы, созданные за последнюю неделю

2. Анализировать логи

grep "error_log_logic.php" /var/log/nginx/access.log
grep "file_put_contents" /var/log/nginx/error.log

3. Проверить содержимое подозрительных файлов

Если нашли 61707a3351d8.php или подобные: 

cat /ajax/61707a3351d8.php | grep "eval"

Как защитить сайт на Битрикс?

1. Удалить вредоносные файлы

rm -f /ajax/error_log_logic.php /ajax/1d861c1d0a00.php /ajax/61707a3351d8.php

2. Обновить Битрикс и модули

Старые версии уязвимы!

3. Настроить права доступа

4. Установить защиту

Нужна помощь?

Если ваш сайт на 1С-Битрикс подвергся атаке, и вы не можете найти источник заражения — обращайтесь!

Мы проводим:

  • Аудит безопасности.

  • Поиск и удаление бэкдоров.

  • Защиту от будущих атак.

Заключение

Вирус через error_log_logic.php — один из самых скрытных. Он не детектируется обычными антивирусами, но его можно найти через логи и ручной анализ.

Главное — вовремя удалить зараженный файл и закрыть уязвимости!

Делитесь статьей — возможно, она спасет чей-то сайт!

7 апреля 2025 (Boudybuilder) Виталий Фантич

Возврат к списку

Этот сайт мультиязычный
благодаря модулю Мультиязычность