Как восстановить работу сайта после вирусной атаки: шаг за шагом

Количество просмотров: 
Отправим материал Вам на почту
Заполняя любую форму на сайте, вы соглашаетесь с политикой конфиденциальности
20.03.2025

Когда ваш сайт начинает работать с перебоями, а привычные страницы или админ-панель внезапно становятся недоступными, возможно, произошла вирусная атака. Как и почему это происходит, а также, что владелец сайта теряет от такого заражения, мы обсуждали в этой статье. Но выявление проблемы – первый шаг. Предлагаем рассмотреть пошаговый алгоритм восстановления для сайтов на платформе 1С-Битрикс, а также выяснить, как же защитить свой ресурс от повторных атак.

Не стоит паниковать — если вы внимательно выполните все шаги, изложенные ниже, шансы восстановить работу ресурса значительно повысятся.

Итак, что нужно сделать: 5 шагов к «выздоровлению» ресурса:

1. Проверка ключевых файлов

Начните с проверки главных файлов сайта. Для этого подключитесь к файловому менеджеру в панели управления хостингом или воспользуйтесь протоколом FTP/SFTP и откройте корневую папку вашего сайта. Особое внимание уделите трем файлам:

Файл index.php

Файл главной страницы может быть поврежден разными способами:

  • Замена на вредоносный файл. Иногда оригинальный index.php полностью заменяют на модифицированную версию с вредоносным кодом. В таком случае имя файла может измениться.
  • Добавление лишнего кода в начало файла. Если перед строкой подключения header.php обнаружен дополнительный PHP-код, его необходимо удалить до подключения заголовка.
  • Полное удаление файла. Если index.php исчез или заменен вирусным файлом, восстановление будет сложнее. Здесь важно восстановить файл из резервной копии. Если резервной копии нет, можно попробовать «перетасовать» исходный код через веб-архив или верстку.

Файлы .htaccess и urlrewrite.php

Проверьте целостность и содержимое этих файлов:

  • Проблема с переименованием или заменой. Вредоносный код может переименовать оригинальный файл и разместить его в другой папке или заменить сам файл.
  • Что делать, если файл поврежден? Если на вашем сайте отсутствует корректный .htaccess, скачайте оригинальную версию от Bitrix и поместите ее в корневую директорию. Аналогичное правило действует и для файла urlrewrite.php.

Совет: если данные файлы не содержат подозрительный код, но есть подозрение на вирус, то стоит прибегнуть к помощи сканирования сайта на наличие подозрительных файлов. Это можно сделать при помои специальных модулей, которые устанавливаются через адимн-панель сайта либо при помощи специальных скриптов, которые не нужно устанавливать, например https://www.securitylab.ru/blog/company/revisium/aibolit-effektivnyy-skaner-virusov-i-drugogo-vredonosnogo-koda-na-khos.php. После сканирования необходимо проанализировать выявленные подозрительные файлы и сделать заключение о дальнейших мерах безопасности.

2. Удаление лишних файлов и папок

Вирусы часто создают дополнительные файлы и папки, которые блокируют доступ к административной части, разделам каталога или поиску товаров, даже если основная страница работает корректно. Чтобы решить проблему:

  • Удалите все лишние файлы .htaccess. Если вы знакомы с работой через SSH, можно использовать команды вроде:
    find . -type f -perm 0444 -name «.htaccess» -delete
    или
    find . -type f -perm 0644 -name «.htaccess» -delete
  • Очистите структуру сайта от вложенных папок и файлов, созданных вирусом.

Важно! Этот пункт необходим только в случае наличия таких файлов. Также учтите, если неверно указать атрибуты файла, можно удалить корневой файл .htaccess, что грозит тем, что сайт просто перестанет работать.

3. Проверка файла bx_root.php

Файл bx_root.php находится в папке /bitrix/modules/main/ и отвечает за взаимодействие модулей системы. Часто вирусы изменяют этот файл, что может привести к сбоям в работе сайта. Если вы обнаружили его повреждение, обязательно удалите старую версию и загрузите новую, оригинальную версию файла.

4. Восстановление в зависимости от статуса лицензии Bitrix

Если лицензия не продлена

Если у вас нет активной лицензии, можно воспользоваться модулем bitrix.xscan для анализа и очистки сайта:

  • Скачайте архив модуля в папку bitrix/modules.
  • Распакуйте архив в папку с именем bitrix.xscan.
  • Перейдите по ссылке /bitrix/admin/partner_modules.php?lang=ru и установите модуль.
  • После установки повторно проверьте файлы .htaccess через /bitrix/admin/bitrix.xscan_htaccess.php. Если лишних файлов обнаружено больше пяти, удалите их.
  • Проверьте оставшиеся файлы через /bitrix/admin/bitrix.xscan_worker_fork.php и, если обнаружите подозрительный код, переместите файл в карантин, а не удаляйте сразу.

Также учтите, что заражение может происходить через некоторые компоненты (например, папки /bitrix/modules/vote/ и /bitrix/tools/vote/) — их необходимо удалить.

Если лицензия активна

При наличии продленной лицензии процесс восстановления упрощается:

  • Следуйте шагам из разделов 1 и 2 для очистки основных файлов.
  • Обновите ядро системы и установите модуль «Проактивная защита», который появится в панели администратора.
  • Повторите проверки, описанные в пункте 3.

Впрочем, Битрикс позаботились, чтобы лицензионные пользователи минимизировали риск заражений. Чтобы выявить вирусы, можно также воспользоваться модулем для сканирования на сайте компании.

5. Дополнительная проверка и меры безопасности

После основных операций рекомендуется выполнить дополнительные проверки:

  • Проверьте раздел «Агенты». Иногда вирусы создают свои записи, которые могут нарушать работу сайта.
  • Проверьте список пользователей. Часто новые, автоматически созданные пользователи появляются в день атаки. Удалите ненужные записи.
  • Если нет личного кабинета авторизации, удалите папку /auth Это предотвратит возможность самостоятельной регистрации новых пользователей.

Профлактика: советы по дальнейшей защите сайта

Чтобы избежать повторных вирусных атак, придерживайтесь простых правил:

  • Обновляйте систему. Переведите сайт на PHP 8+ и следите за актуальностью версии Bitrix.
  • Устанавливайте лицензионные обновления. Это позволит оперативно получать патчи безопасности.
  • Регулярно сканируйте сайт. Используйте модули Проактивной защиты или bitrix.xscan для периодической проверки.
  • Защитите соединение. Установите SSL-сертификаты и используйте защищенные протоколы при работе с данными.
  • Настройте дополнительные фильтры. Проактивный фильтр, блокирующий подозрительные IP, и двухэтапная аутентификация существенно повышают безопасность.
  • Делайте резервные копии. Регулярное создание бэкапов спасает от потери данных при новой атаке. Причем копии для большей безопасности лучше хранить отдельно от сайта.

Без достаточного опыта самостоятельно устранить вредоносный код на сайте будет сложно, так как определить его точное местоположение непросто. Профессионал действует по определенному алгоритму, который зависит от типа заражения. Обычно проверяются:

  • файлы index.php, .htaccess и urlrewrite.php;
  • наличие посторонних файлов;
  • целостность bx_root.php;
  • другие элементы.

После устранения угроз рекомендуется использовать актуальные версии ПО, антивирусные программы и дополнительные методы авторизации, которые помогут предотвратить кражу данных. Вы можете заказать аудит в агентстве «Третий Путь» — мы проведем диагностику, выявим уязвимости, предложим способы их устранения и ответим на все ваши вопросы. Звоните, мы с радостью поможем восстановить стабильную работу вашего сайта!

Российский бизнес и ИИ: способы взаимодействия
Подробнее
Российский бизнес и ИИ: способы взаимодействия
23.04.2025
Новый сервис безопасности YCDR для облака от Яндекса
Подробнее
Новый сервис безопасности YCDR для облака от Яндекса
22.04.2025
Вирусы на сайте: невидимая угроза, способная разрушить ваш бизнес
Подробнее
Вирусы на сайте: невидимая угроза, способная разрушить ваш бизнес
19.03.2025
Появились вопросы?

Специалисты компании "Третий Путь" готовы ответить на все ваши вопросы по продвижению сайта, увеличению звонков и заявок на сайте.
Закажи звонок эксперта — мы свяжемся и ответим на все вопросы.