8 (495) 118-30-48
По будням с 11:00 до 19:00 (МСК+5)
Вернуться к списку

Восстановили более 30 сайтов на 1C-Битрикс после хакерской атаки

С начала года «Техдиректор» восстановил десятки интернет-порталов, которые стали жертвами хакеров из Украины. В большинстве случаев злоумышленники использовали уязвимости устаревшей версии 1C-Битрикс. Сложности починки часто были связаны с ошибками администрирования и отсутствием резервных копий сайта на сервере, поэтому мы настоятельно рекомендуем сделать бэкап прямо сейчас.

В условиях СВО российский бизнес регулярно сталкивается с угрозами информационной безопасности, а число атак на инфраструктуру и сайты компаний растет. Только во втором квартале 2023 года специалисты зафиксировали 325 тысяч инцидентов — это почти на 40% больше показателей год к году. По статистике, чаще других целью киберпреступников становится ИТ-отрасль, промышленность и ретейл. На последних приходится около 15% всех атак.

Мы подтверждаем тенденцию. С начала года в поддержку «Техдиректора» поступили десятки запросов от владельцев интернет-магазинов, которые подверглись взлому со стороны украинских хакеров. В целях защиты репутации наших партнеров мы не будем прямо ссылаться на них.

Что обычно происходит с сайтом после взлома

Мы зафиксировали три волны взломов в 2023 году:
  • Первая характеризовалась заменой главной страницы, удалением или повреждением ядра (settings.php) и других блоков сайта, а также заменой паролей всех пользователей интернет-магазина (включая администраторов и менеджеров).
  • Вторая волна на первый взгляд была менее критичной — сайты работали, как и прежде, но могли перенаправлять посетителей на сторонние сервисы.
  • Третья волна вновь выделяется подменой главной страницы, заражением файла конфигураций сервера (.htaccess) и большим числом ошибок 403 на разных страницах публичной части сайта и в панели администратора.

Какие сайты подвержены атакам чаще всего

В группе риска все необновленные версии сайтов на базе 1С-Битрикс. И чем более старая версия CMS, тем больше в ней возможностей для внедрения эксплойтов. Например, вплоть до версии 22.0.400 для всех редакций, кроме «Старт», существовала брешь в модуле «Опросы» (uf.php). Она позволяла записывать в лог-файлы POST-запросы. Также уязвимости есть в визуальном HTML-редакторе (html_editor_action.php), панели администратора и десятках других элементов системы — основные эксплойты перечислены в PDF на GitHub.

В отчете CyberOk сказано, что многие из текущих атак на Битрикс были подготовлены еще в 2022 году, и, если сайт уже взломан, обновление не всегда поможет — важно закрыть все уязвимости и установленные бэкдоры. Сделать это можно только с участием специалистов.

Как мы восстанавливаем сайты после атаки

Разработчики «Техдиректора» регулярно сталкиваются со взломами, поэтому у нас выработаны четкие шаги для решения проблемы. Во-первых, в обязательном порядке мы проводим диагностику, в том числе:
  • Проверяем произвольные PHP-функции (агенты) и скрипты, выполненные из-под планировщика задач cron.
  • Оцениваем состояние репозитория (команда git status).
  • Смотрим конфигурацию сервера и активные процессы (.htaccess).
  • Оцениваем целостность ядра, изучаем посторонние файлы и папки, анализируем кэш.

После диагностики наша задача — остановить вредоносные процессы, удалить лишние файлы, откатить изменения «на бою» (то есть в рабочей версии сайта), по возможности очистить оригинальный код от внедрений и восстановить «эталонные» файлы.

Порядок в каждом случае индивидуальный и зависит от многих факторов, в том числе от действий администратора после атаки. Например, отсутствие бэкапов существенно усложняет восстановление. Чтобы максимально обезопасить бизнес, рекомендуем:
  • Сделать резервное копирование файлов.
  • Обновить версию Битрикс до актуальной.
Обе услуги заказать можно у нас.
Если ваш сайт уже подвергался атаке, поможем обнаружить и закрыть уязвимости, а если вы опасаетесь новой волны атак в будущем, расскажем, как их предотвратить. Кроме обновления Битрикс поможем настроить работу встроенных модулей, запустим логирование событий и закроем доступ к критически важным файлам на уровне сервера.
В онлайне 8 программистов
Золотой
партнёр
Битрикса
9 лет
на рынке
Реагируем
в течение
30 минут
30
человек
в штате

Золотой
партнёр
Битрикса

9 лет
на рынке

Реагируем
в течение
30 минут