Вірус у /ajax/error_log_logic.php: як хакери заражають сайти на Бітрікс і створюють бекдори

Як ми виявили вірус та зупинили зараження

Нещодавно ми зіткнулися з /ajax/ зараженням декількох сайтів на 1С-Бітрікс.

• 1d861c1d0a00.php

• 61707a3351d8.php

• assets/... (приховані бекдори)

Як ми знайшли джерело?

1. Перевірили дати створення файлів → зіставили із логами.

2. Виявили, що всі атаки йшли через /ajax/error_log_logic.php .

3. Після його видалення нові бекдор перестали з'являтися.

Висновок: Вірус ховався в error_log_logic.php та використовував його для завантаження шкідливих скриптів.

Як працював вірус?

1. Вхідна точка: error_log_logic.php

Файл виглядав нешкідливо, але містив уразливий код, що дозволяє:

• Записувати PHP-файли ( file_put_contents ).

• Виконувати довільний код ( eval , base64_decode ).

Приклад шкідливого запиту з логів:

GET /ajax/error_log_logic.php?data=

2. Створення бекдорів

Хакери завантажували зашифровані PHP-файли, які:

• Давали доступ до сервера.

• Дозволяли завантажувати нові віруси.

• Розповсюджувалися на сусідні сайти.

3. Подальше зараження

Після впровадження першого бекдору:

• Вірус сканував інші сайти на хостингу.

• Заражав їх через однакові вразливості.

Як виявити такий вірус?

1. Перевірити папку /ajax/

Шукати підозрілі файли:

 ls -la /ajax/
find /ajax/ -name "*.php" -mtime -7 # файли, створені за останній тиждень

2. Аналізувати логи

 grep "error_log_logic.php" /var/log/nginx/access.log
grep "file_put_contents" /var/log/nginx/error.log

3. Перевірити вміст підозрілих файлів

Якщо знайшли 61707a3351d8.php або подібні:

 cat /ajax/61707a3351d8.php |

Як захистити сайт на Бітрікс?

1. Видалити шкідливі файли

 rm -f /ajax/error_log_logic.php /ajax/1d861c1d0a00.php /ajax/61707a3351d8.php

2. Оновити Бітрікс та модулі

Старі версії вразливі!

3. Налаштувати права доступу

4. Встановити захист

Потрібна допомога?

Якщо ваш сайт на 1С-Бітрікс зазнав атаки, і ви не можете знайти джерело зараження - звертайтесь!

Ми проводимо:

• Аудит безпеки.

• Пошук та видалення бекдорів.

• Захист від майбутніх атак.

Висновок

Вірус через error_log_logic.php — один із найпотаємніших. Він не детектується звичайними антивірусами, але його можна знайти через логи та ручний аналіз.

Головне – вчасно видалити заражений файл та закрити вразливості!

Діліться статтею – можливо, вона врятує чийсь сайт!