info@kokoc.tech

Взломы сайтов на 1С-Битрикс: лечение и профилактика

Ксения Куликова, Руководитель отдела вебмастеринга

В начале 2025 года произошла масштабная и третья по счету волна взломов сайтов на 1С-Битрикс, затронувшая в первую очередь ресурсы с решениями АСПРО. 

В этой статье мы делимся практическим руководством по диагностике, лечению и защите веб-ресурсов от вредоносных атак, а также анализируем причины взломов и рекомендациями по обеспечению безопасности.

Как все начиналось

Февраль 2025. В отдел веб-мастеринга Kokoc.tech поступают первые сигналы: сайты начинают падать, ломаются отдельные компоненты сайтов, появляются ссылки на фармацевтические, азартные и другие запрещенные ресурсы, в поиске — предупреждения «Сайт может навредить вашему устройству». К середине марта поток запросов становится лавиной. 

Это была третья по счёту массовая волна взломов сайтов на 1С-Битрикс — и одна из самых масштабных за последние годы.

poster

Волны взломов: 2023–2025

Ещё в 2023–2024 годах мы наблюдали две волны атак на Bitrix: 

  • Первая — через уязвимости в старых версиях ядра.
  • Вторая — через компоненты, связанные с формами и каталогами.
poster

Но февраль–июнь 2025 стали переломными. Хакеры атаковали сайты с необновлёнными решениями от АСПРО, стандартными модулями Битрикс и кастомными компонентами, оставшимися без патчей. 

Анализ зараженных компонентов показал: волна взломов в первую очередь нацелена на сайты, использующие популярные решения от компании АСПРО — такие как Max, Next, LiteShop и другие. Основной причиной компрометации стали устаревшие версии этих шаблонов и модулей, содержащие критическую уязвимость. Чаще всего атаки реализовывались через уязвимость в функции unserialize, используемой при обработке пользовательских данных в настройках компонентов. Это позволяло злоумышленникам выполнять инъекцию сериализованных объектов, что приводило к произвольному выполнению кода (RCE). 

Анализ показал: все инфицированные проекты использовали устаревшие версии решений АСПРО (до 24.1100) и не проводили обновление ядра 1С-Битрикс свыше 12 месяцев. Это создало идеальные условия для проникновения уязвимостей.

poster

Клиенты жаловались на: 

  • Нарушение работоспособности некоторых функций сайта, в первую очередь — поиска или фильтрации.
  • Поломку некоторых разделов, а в ряде случаев сайт переставал работать полностью.
  • Снижение трафика и доверия, Блокировку Google и Яндекс. 

Все эти симптомы — не просто «глюки». Это признаки активного вредоносного кода.

Признаки вирусов на сайте

Как понять, что сайт заражен? Вот ключевые симптомы: 

  • Редиректы на фарма, казино, ставки: Внедрён JS- или PHP-вирус
  • Появление новых файлов в /upload/ или /bitrix/: Загрузка бэкдоров
  • Странное поведение компонентов (формы, корзины): Инъекция кода в шаблоны
  • Подозрительные строки в init.php, .htaccess, header.php и т.д.: eval, base64_decode, gzinflate
  • Новые пользователи в админке Bitrix: Доступ злоумышленника
  • Предупреждения в Google Search Console: Сайт внесён в список вредоносных
  • Резкое падение позиций в поиске: Фильтрация или санкции

Важно: даже если ресурс «работает», но в коде сайта есть eval(base64_decode(...)) — это 100% вирус. Не игнорируйте!

Диагностика сайта на наличие вирусов

Перед лечением — диагноз. Проводим комплексную проверку:

poster

Этап 1: Автоматическая проверка сайта 

Диагностика заражения включает комплексное сканирование сайта с использованием специализированных инструментов. В первую очередь мы применяем сканер AI-BOLIT — инструмент для поиска следов взлома и вредоносного кода на сайтах. 

AI-BOLIT помогает выявить: 

  • хакерские шеллы и бэкдоры;
  • фишинговые страницы;
  • скрытые вирусные вставки;
  • дорвеи;
  • спам-ссылки и другие признаки компрометации. 

Сканер можно запускать как на хостинге (рекомендуемый способ — через SSH в командной строке), так и локально под Windows, macOS или *nix-системами. Он использует собственную антивирусную базу и эвристические правила, позволяющие обнаруживать даже новые, ещё неизвестные угрозы. 

При нахождении подозрительных фрагментов AI-BOLIT формирует подробный отчет в HTML или текстовом формате — с перечнем зараженных файлов и описанием типа угрозы. 

Дополнительно проводим проверку через онлайн-сканеры, такие как Dr.Web Site Detector, чтобы подтвердить результаты и выявить активность, заметную извне — например, редиректы или вредоносные iframe. 

Этап 2. Проверка сайта вручную 

Вначале производим анализ файлов через SSH или через файловый менеджер: 

  • Ищем подозрительные PHP-файлы;
  • Проверяем .htaccess;
  • Ищем файлы, изменённые за последние 2-4 недели;

Особое внимание — папкам: 

  • /bitrix/php_interface/init.php
  • /local/templates/*/header.php
  • /upload/php/ 

Далее проверяем базу данных. Иногда вирусы прячутся в настройках или контенте: 

SELECT * FROM b_file WHERE CONTENT LIKE '%eval%'; 
SELECT * FROM b_event WHERE MESSAGE LIKE '%base64%'; 

Также проверяем настройки шаблонов — в них могут быть вставлены JS-скрипты.

Очистка сайтов от вирусов

Теперь — лечение. Действуем по порядку.

poster

Шаг 1: Бэкап 

  • Перед работами обязательно необходимо сделать полный бэкап сайта.
  • Ищем чистый бэкап сайта до заражения (по возможности). 

Шаг 2: Изоляция 

  • Включаем режим обслуживания в админпанели 1C-Bitrix.
  • Ограничиваем доступ к сайту по IP или паролю (через .htpasswd).
  • Отключаем FTP и SSH на время чистки (если возможно). 

Шаг 3: Удаление вредоносного кода 

  • Удаляем все подозрительные файлы в /upload/, /cache/, /tmp/ и т.д., которые обнаружились после этапа диагностики.
  • Заменяем изменённые системные файлы на оригинальные из чистого бэкапа. Если чистого бэкапа не нашлось, используем файлы из дистрибутива Bitrix (той же версии!).
  • Чистим init.php, header.php, .htaccess.
  • Удаляем неизвестных пользователей в админпанели 1С-Bitrix (если такие были найдены). 

Шаг 4: Очистка базы данных 

  • Удаляем подозрительные события (b_event).
  • Проверяем таблицы b_file, b_iblock_element, b_seo_sitemap на вредоносный HTML/JS.
  • Обновляем кеш.

Закрытие уязвимостей

Чистка — это только начало. Нужно закрыть дыры, через которые проник вирус. 

Основная защита от вирусов — это полное обновление системы и модулей, но если в настоящий момент это сделать нет возможности, можно установить «заплатки».

poster

1. Блокировка через .htaccess — первый щит 

  • Ограничиваем доступ к потенциально опасным файлам и папкам.
  • Запрещаем доступ к подозрительным служебным файлам.
  • Ограничиваем доступ к админке по IP (если возможно). 

2. Фильтрация запросов в init.php — остановка до выполнения 

Можно добавить защиту на уровне PHP, в файле /bitrix/php_interface/init.php. Это позволяет перехватить опасные запросы до того, как они достигнут уязвимого компонента. 

Пример: блокировка unserialize в GET/POST или блокировка по сигнатурам (например, base64 + eval). 

Важно: такие проверки не заменяют обновлений, но останавливают большинство автоматизированных атак. 

3. Ограничение в php.ini или user.ini 

На уровне PHP можно отключить опасные функции (если это не ломает сайт) или ограничить unserialize 

Внимание: eval и assert часто используются в шаблонах АСПРО — отключайте с осторожностью. 

4. WAF на уровне сервера (ModSecurity) 

Если есть доступ к серверу — настройте ModSecurity с правилами OWASP Core Rule Set. Он автоматически блокирует: 

  • SQL-инъекции;
  • XSS;
  • RCE через unserialize;
  • попытки обхода аутентификации. 

Важно понимать: 

  • Такие «заплатки» не устраняют уязвимость, а лишь мешают её эксплуатации.
  • Они могут сломаться при изменении логики сайта.
  • Это временное решение, пока не будет проведено обновление. 

Лучшая защита — обновление. Но если оно невозможно — правильные .htaccess и фильтры в init.php могут спасти сайт от взлома.

Финальная проверка

После всех действий — финальный тест: 

  1. Запускаем повторное сканирование через AI-BOLIT и Google Safe Browsing.
  2. Проверяем, нет ли на сайте редиректов.
  3. Убеждаемся в том, что все компоненты работают: формы, корзина, оплата. В случае, если какой-то функционал на сайте перестал работать (часто это бывает с кастомными правками), восстанавливаем работоспособность из чистого бэкапа или дистрибутива той же версии.
  4. Запрашиваем повторное сканирование у Google через Search Console.

Главная защита — обновление

Обновления — не роскошь, а базовая необходимость. 

Третья волна взломов 2025 года — не результат хакерской изощрённости, а прямое следствие пренебрежения простыми правилами безопасности: устаревшее ядро, необновлённые шаблоны, игнорированные патчи. 

Злоумышленники не взламывают системы. Они просто входят в открытые двери.

poster

Что делать, если вы не уверены в чистоте сайта? 

Если вы подозреваете, что сайт заражён, но не знаете с чего начать — обращайтесь. Поможем провести диагностику и полностью очистить ваш сайт от вирусов.

UX-аудит за неделю

Выполним полноценный UX-аудит по фиксированной цене 100 000 ₽

Скачать презентацию
/
poster
WebApp для
Ленты
poster
Карьерный сайт для
Крупного сервиса доставки
poster
Интернет-магазин
Рехау
poster
Сайт застройщика
Страна Девелопмент
poster
Браузерная игра для
Российской авиакомпании
poster
Интернет-магазин
Stadion
poster
Дизайн RPM-системы для
застройщика ПИК
poster
Интерактивный калькулятор для
DHL
poster
Веб-сервис для застройщика
Атомстройкомплекс
1.0.9