Взломы сайтов на 1С-Битрикс: лечение и профилактика

В начале 2025 года произошла масштабная и третья по счету волна взломов сайтов на 1С-Битрикс, затронувшая в первую очередь ресурсы с решениями АСПРО. 

В этой статье мы делимся практическим руководством по диагностике, лечению и защите веб-ресурсов от вредоносных атак, а также анализируем причины взломов и рекомендациями по обеспечению безопасности.

Как все начиналось

Февраль 2025. В отдел веб-мастеринга Kokoc.tech поступают первые сигналы: сайты начинают падать, ломаются отдельные компоненты сайтов, появляются ссылки на фармацевтические, азартные и другие запрещенные ресурсы, в поиске — предупреждения «Сайт может навредить вашему устройству». К середине марта поток запросов становится лавиной. 

Это была третья по счёту массовая волна взломов сайтов на 1С-Битрикс — и одна из самых масштабных за последние годы.

Волны взломов: 2023–2025

Ещё в 2023–2024 годах мы наблюдали две волны атак на Bitrix: 

• Первая — через уязвимости в старых версиях ядра.
• Вторая — через компоненты, связанные с формами и каталогами.

Но февраль–июнь 2025 стали переломными. Хакеры атаковали сайты с необновлёнными решениями от АСПРО, стандартными модулями Битрикс и кастомными компонентами, оставшимися без патчей. 

Анализ зараженных компонентов показал: волна взломов в первую очередь нацелена на сайты, использующие популярные решения от компании АСПРО — такие как Max, Next, LiteShop и другие. Основной причиной компрометации стали устаревшие версии этих шаблонов и модулей, содержащие критическую уязвимость. Чаще всего атаки реализовывались через уязвимость в функции unserialize, используемой при обработке пользовательских данных в настройках компонентов. Это позволяло злоумышленникам выполнять инъекцию сериализованных объектов, что приводило к произвольному выполнению кода (RCE). 

Анализ показал: все инфицированные проекты использовали устаревшие версии решений АСПРО (до 24.1100) и не проводили обновление ядра 1С-Битрикс свыше 12 месяцев. Это создало идеальные условия для проникновения уязвимостей.

Клиенты жаловались на: 

• Нарушение работоспособности некоторых функций сайта, в первую очередь — поиска или фильтрации.
• Поломку некоторых разделов, а в ряде случаев сайт переставал работать полностью.
• Снижение трафика и доверия, Блокировку Google и Яндекс. 

Все эти симптомы — не просто «глюки». Это признаки активного вредоносного кода.

Признаки вирусов на сайте

Как понять, что сайт заражен? Вот ключевые симптомы: 

• Редиректы на фарма, казино, ставки: Внедрён JS- или PHP-вирус
• Появление новых файлов в /upload/ или /bitrix/: Загрузка бэкдоров
• Странное поведение компонентов (формы, корзины): Инъекция кода в шаблоны
• Подозрительные строки в init.php, .htaccess, header.php и т.д.: eval, base64_decode, gzinflate
• Новые пользователи в админке Bitrix: Доступ злоумышленника
• Предупреждения в Google Search Console: Сайт внесён в список вредоносных
• Резкое падение позиций в поиске: Фильтрация или санкции

Важно: даже если ресурс «работает», но в коде сайта есть eval(base64_decode(...)) — это 100% вирус. Не игнорируйте!

Диагностика сайта на наличие вирусов

Перед лечением — диагноз. Проводим комплексную проверку:

Этап 1: Автоматическая проверка сайта 

Диагностика заражения включает комплексное сканирование сайта с использованием специализированных инструментов. В первую очередь мы применяем сканер AI-BOLIT — инструмент для поиска следов взлома и вредоносного кода на сайтах. 

AI-BOLIT помогает выявить: 

• хакерские шеллы и бэкдоры;
• фишинговые страницы;
• скрытые вирусные вставки;
• дорвеи;
• спам-ссылки и другие признаки компрометации. 

Сканер можно запускать как на хостинге (рекомендуемый способ — через SSH в командной строке), так и локально под Windows, macOS или *nix-системами. Он использует собственную антивирусную базу и эвристические правила, позволяющие обнаруживать даже новые, ещё неизвестные угрозы. 

При нахождении подозрительных фрагментов AI-BOLIT формирует подробный отчет в HTML или текстовом формате — с перечнем зараженных файлов и описанием типа угрозы. 

Дополнительно проводим проверку через онлайн-сканеры, такие как Dr.Web Site Detector, чтобы подтвердить результаты и выявить активность, заметную извне — например, редиректы или вредоносные iframe. 

Этап 2. Проверка сайта вручную 

Вначале производим анализ файлов через SSH или через файловый менеджер: 

• Ищем подозрительные PHP-файлы;
• Проверяем .htaccess;
• Ищем файлы, изменённые за последние 2-4 недели;

Особое внимание — папкам: 

• /bitrix/php_interface/init.php
• /local/templates/*/header.php
• /upload/php/ 

Далее проверяем базу данных. Иногда вирусы прячутся в настройках или контенте: 

SELECT * FROM b_file WHERE CONTENT LIKE '%eval%'; SELECT * FROM b_event WHERE MESSAGE LIKE '%base64%'; 

Также проверяем настройки шаблонов — в них могут быть вставлены JS-скрипты.

Очистка сайтов от вирусов

Теперь — лечение. Действуем по порядку.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13201 тендер
проведено за восемь лет работы нашего сайта.

Шаг 1: Бэкап 

• Перед работами обязательно необходимо сделать полный бэкап сайта.
• Ищем чистый бэкап сайта до заражения (по возможности). 

Шаг 2: Изоляция 

• Включаем режим обслуживания в админпанели 1C-Bitrix.
• Ограничиваем доступ к сайту по IP или паролю (через .htpasswd).
• Отключаем FTP и SSH на время чистки (если возможно). 

Шаг 3: Удаление вредоносного кода 

• Удаляем все подозрительные файлы в /upload/, /cache/, /tmp/ и т.д., которые обнаружились после этапа диагностики.
• Заменяем изменённые системные файлы на оригинальные из чистого бэкапа. Если чистого бэкапа не нашлось, используем файлы из дистрибутива Bitrix (той же версии!).
• Чистим init.php, header.php, .htaccess.
• Удаляем неизвестных пользователей в админпанели 1С-Bitrix (если такие были найдены). 

Шаг 4: Очистка базы данных 

• Удаляем подозрительные события (b_event).
• Проверяем таблицы b_file, b_iblock_element, b_seo_sitemap на вредоносный HTML/JS.
• Обновляем кеш.

Закрытие уязвимостей

Чистка — это только начало. Нужно закрыть дыры, через которые проник вирус. 

Основная защита от вирусов — это полное обновление системы и модулей, но если в настоящий момент это сделать нет возможности, можно установить «заплатки».

1. Блокировка через .htaccess — первый щит 

• Ограничиваем доступ к потенциально опасным файлам и папкам.
• Запрещаем доступ к подозрительным служебным файлам.
• Ограничиваем доступ к админке по IP (если возможно). 

2. Фильтрация запросов в init.php — остановка до выполнения 

Можно добавить защиту на уровне PHP, в файле /bitrix/php_interface/init.php. Это позволяет перехватить опасные запросы до того, как они достигнут уязвимого компонента. 

Пример: блокировка unserialize в GET/POST или блокировка по сигнатурам (например, base64 + eval). 

Важно: такие проверки не заменяют обновлений, но останавливают большинство автоматизированных атак. 

3. Ограничение в php.ini или user.ini 

На уровне PHP можно отключить опасные функции (если это не ломает сайт) или ограничить unserialize 

Внимание: eval и assert часто используются в шаблонах АСПРО — отключайте с осторожностью. 

4. WAF на уровне сервера (ModSecurity) 

Если есть доступ к серверу — настройте ModSecurity с правилами OWASP Core Rule Set. Он автоматически блокирует: 

• SQL-инъекции;
• XSS;
• RCE через unserialize;
• попытки обхода аутентификации. 

Важно понимать: 

• Такие «заплатки» не устраняют уязвимость, а лишь мешают её эксплуатации.
• Они могут сломаться при изменении логики сайта.
• Это временное решение, пока не будет проведено обновление. 

Лучшая защита — обновление. Но если оно невозможно — правильные .htaccess и фильтры в init.php могут спасти сайт от взлома.

Финальная проверка

После всех действий — финальный тест: 

1. Запускаем повторное сканирование через AI-BOLIT и Google Safe Browsing.
2. Проверяем, нет ли на сайте редиректов.
3. Убеждаемся в том, что все компоненты работают: формы, корзина, оплата. В случае, если какой-то функционал на сайте перестал работать (часто это бывает с кастомными правками), восстанавливаем работоспособность из чистого бэкапа или дистрибутива той же версии.
4. Запрашиваем повторное сканирование у Google через Search Console.

Главная защита — обновление

Обновления — не роскошь, а базовая необходимость. 

Третья волна взломов 2025 года — не результат хакерской изощрённости, а прямое следствие пренебрежения простыми правилами безопасности: устаревшее ядро, необновлённые шаблоны, игнорированные патчи. 

Злоумышленники не взламывают системы. Они просто входят в открытые двери.

Что делать, если вы не уверены в чистоте сайта?

Если вы подозреваете, что сайт заражён, но не знаете с чего начать — обращайтесь к нам в Kokoc.tech. Поможем провести диагностику и полностью очистить ваш сайт от вирусов.