Не секрет, що 1С-Бітрікс оснащена досить сильним веб-антивірусом. Що ж робити, якщо вірус виявлений? Як розібратися з проблемою, щоб не завдати шкоди сайту?

В першу чергу, треба з'ясувати, чи дійсно веб-антивірус знайшов вірусну посилання або ж ми маємо справу з помилковим спрацьовуванням? Так як робота веб-антивіруса 1С-Бітрікс спирається на евристичний аналіз html коду, кількість мінімальних спрацьовувань не можна звести до нуля. Веб-антивірус переглядає потенційно небезпечні блоки html коду і може помилково розпізнати деякі з них, як вірусні.

Грубо кажучи, мова йде про два типи блоків, які можуть бути виявлені веб-антивірусом і позначені, як вірусні. Перші - легітимні блоки. Вони додані програмістом, а не вірусної програмою (помилкове спрацьовування). Другі - по-справжньому вірусні блоки. Відзначимо, що відрізнити вірусний блок від легітимного досить легко. З цим завданням впорається і людина. У той же час, якщо сканувати блоки персональними антивірусами, результат залишає бажати кращого, адже вірусні блоки не містять віруси, а лише посилання на них.

Отже, якщо веб-антивірус виявляє вірус, але блок перевірений і позначений, як легітимний, то значить, ми маємо справу з помилковим спрацьовуванням. Щоб уникнути цієї помилки в подальшому, візьміть рядок з «вірусного» блоку (постарайтеся, щоб вона була довгою і унікальною) і додайте її в список виключень веб-антивіруса. Якщо ж посилання на вірус присутній, то виникає проблема.

Справа в тому, що вірусна посилання є не що інше, як пряма вказівка ​​на те, що на вашому сервері знаходиться сторонній код. Це підводить нас до невтішного висновку: якщо «ворожий» код на сервері, то значить, що сталася компрометація, тобто зловмисник має доступ до всіх файлів, що зберігаються на сервері. Як правило, якщо веб-антивірус 1С-Бітрікс виявляє вірусний блок, це означає, що машина програміста, адміністратора або веб-майстра заражена. Скориставшись доступом машини до сервера через FTP (SSH, SFTP), вірус викрадає пароль від сервера.

Якщо вірус на сайті виявлено та підтверджено, то треба перевірити всі машини, які мають доступ до сайту, а також до панелі адміністрування 1С-Бітрікс. Перевірка проводиться за допомогою стандартного персонального антивіруса. Коли «чистка» завершена, треба змінити паролі від сервера, включаючи паролі від FTP, SSH, рутові паролі, паролі бази даних і користувачів 1С-Бітрікс з доступом до панелі адміністрування.

Після зміни паролів необхідно видалити весь сторонній код з сервера. Радимо використовувати контроль цілісності файлів з 1С-Бітрікс для контролю за зміною файлів. На жаль, контроль цілісності файлів допоможе вам тільки в тому випадку, якщо ви проводите регулярні перевірки. Якщо ви ніколи раніше не запускали контроль цілісності файлів, то знайти всі зміни в коді, залишені хакером, буде дуже непросто.

Що ж робити, якщо контроль цілісності файлів ніколи не запускався, а проблема є? В такому випадку, треба здійснити пошук вірусного блоку або рядки на всіх файлах сервера, провести ручну перевірку недавно змінених файлів, проаналізувати логи http сервера.

Загалом, треба сподіватися, що ви зіткнулися з звичайним хакером, який впровадив пару java скриптів, не залишив прихованих бекдоров і пішов геть. Звичайно, на везіння покладатися не варто - хакери можуть приховувати бекдоров десятками різних способів, що ускладнює їх пошук і виявлення. Випадки, коли приховані бекдоров залишаються, досить рідкісні, але все ж трапляються. Запам'ятайте: якщо ви виконали всі вищеописані процедури, але сайт як і раніше погано працює, то на сайті є прихований бекдор. В такому випадку, можна побажати вам удачі в пошуках.