Подготовка
- Сделайте полный бэкап файлов и базы данных.
- Убедитесь, что есть доступ по SSH (для отката).
Шаг 1 Очистка cron
Откройте задания от имени пользователя, под которым работает сайт (обычно bitrix), и от root:
sudo crontab -e
Удалите только подозрительные строки:
- wget / curl с неизвестных адресов;
- вызовы случайных PHP-файлов (например, sdf123.php);
- обфусцированные команды.
Системное задание агентов Битрикс:
Шаг 2 Очистка .htaccess
В корне сайта выполните:
find . -name ".htaccess" -type f -delete
touch .htaccess
Шаг 3 Восстановление .htaccess через панель
Админка → Настройки → Проактивная защита → Поиск троянов
- Вкладка «Проверка .htaccess» → кнопка «Проверить Htaccess».
- После проверки → «Удалить все и установить минимальный набор».
Шаг 4 Сканирование и карантин
Там же → вкладка «Сканирование файлов» → «Начать поиск».
В таблице результатов смотрите колонку «Оценка» (Score):
| Оценка | Действие |
|---|---|
| = 1 | → в карантин (кнопка «Переместить в карантин») |
| 0.8–0.99 | ручной анализ кода |
| < 0.8 | обычно безопасно, но проверяйте визуально |
На что обращать внимание при просмотре файла:
- eval(, base64_decode, system(, shell_exec(
- обфусцированные строки
- PHP-файлы в папке /upload/
- двойные расширения (image.jpg.php)
После очистки (обязательно)
- Обновите ядро Битрикс и модули.
- Смените пароли: админка, FTP, SSH, БД.
- Проверьте /bitrix/php_interface/init.php и таблицу b_option в БД.
- Проверьте ~/.ssh/authorized_keys на наличие посторонних ключей.
- Протестируйте работу сайта (корзина, формы, загрузка файлов).
После всех шагов сайт должен быть чистым. При сомнениях — разверните проект на новой инфраструктуре, перенеся только контент и базу.