Приветствую,
Сайт на битриксе, влом произошел видимо в августе, но никак себя не выдавал, на днях только скрипт начал редиректить на левые конторы.
Проблема та же что и тут
Для просмотра ссылки Войди или Зарегистрируйся
Может кто сталкивался, где дырка, то есть как вирус проник? Какие файлы чистить?
Не соглашусь с предыдущим оратором. Версия битрикс?
1) базу проверяй обязательно. что-то может быть и там. выкачай перед проверкой.
2) virus die или же проверь на хостере при помощи ai-bolit.php с параметром -2. прошерсти все логи.
3) есть проверка модификации модулей ядра в безопасности. ее запусти первым делом. выдаст отличия. настройки - проактивная защита - сканер безопаности
4) есть возможность перегрузить и закачать все модули ядра
/bitrix/admin/update_system.php?BX_SUPPORT_PROTOCOL10=Y где 10 это день месяца текущего. поддержка битрикса на это шибко ругается. но все же.
5) права, права хренового хостера. если тебя видят в окружении и могут к тебе что-то записать, на том и аминь. будет повторяться заражение.
там есть 2-3 файла закодированных битрой, их собственный кодировщик, просто по отчетам проверишь и сравни через google. остальное исключай.
плюс закинь все в папку local и гить время от времени, включая сторонние модули. а все остальное можно откатить будет.
6) все шеллы, типа myadmin, bx_1c_import, restore.php, предустановленный рядом phpmyadmin, phpinfo вне битрикса, тестовую аутентификацию и т.п. никогда не оставляй на prod е.
Если не получится, или заражение продолжится, обращайся. Подчищу, найду по логам: кто откуда и куда.
И да, кстати.
7) access log, error log хостера, журнал вторжений битрикс после установления даты заражения проверь (дата создания зараженных включений/дата изменения и будет искомой датой).
"Вы любите кошек? Да вы просто не умеете их готовить!" (@Альф)