Удаление вируса с сайта на «1С-Битрикс»: инструкция для Linux-сервера

Удаление вируса с сайта на «1С-Битрикс»: инструкция для Linux-сервера

Подготовка

  1. Сделайте полный бэкап файлов и базы данных.
  2. Убедитесь, что есть доступ по SSH (для отката).

Шаг 1 Очистка cron

Откройте задания от имени пользователя, под которым работает сайт (обычно bitrix), и от root:

sudo -u bitrix crontab -e
sudo crontab -e

Удалите только подозрительные строки:

  • wget / curl с неизвестных адресов;
  • вызовы случайных PHP-файлов (например, sdf123.php);
  • обфусцированные команды.
⛔ Не трогайте

Системное задание агентов Битрикс:

* * * * * /usr/bin/php -f /home/bitrix/www/bitrix/modules/main/tools/cron_events.php

Шаг 2 Очистка .htaccess

В корне сайта выполните:

cd /home/bitrix/www
find . -name ".htaccess" -type f -delete
touch .htaccess

Шаг 3 Восстановление .htaccess через панель

Админка → Настройки → Проактивная защита → Поиск троянов

  1. Вкладка «Проверка .htaccess» → кнопка «Проверить Htaccess».
  2. После проверки → «Удалить все и установить минимальный набор».

Шаг 4 Сканирование и карантин

Там же → вкладка «Сканирование файлов»«Начать поиск».

В таблице результатов смотрите колонку «Оценка» (Score):

Оценка Действие
= 1 → в карантин (кнопка «Переместить в карантин»)
0.8–0.99 ручной анализ кода
< 0.8 обычно безопасно, но проверяйте визуально

На что обращать внимание при просмотре файла:

  • eval(, base64_decode, system(, shell_exec(
  • обфусцированные строки
  • PHP-файлы в папке /upload/
  • двойные расширения (image.jpg.php)
Переместить в карантин

После очистки (обязательно)

  • Обновите ядро Битрикс и модули.
  • Смените пароли: админка, FTP, SSH, БД.
  • Проверьте /bitrix/php_interface/init.php и таблицу b_option в БД.
  • Проверьте ~/.ssh/authorized_keys на наличие посторонних ключей.
  • Протестируйте работу сайта (корзина, формы, загрузка файлов).
✅ Готово

После всех шагов сайт должен быть чистым. При сомнениях — разверните проект на новой инфраструктуре, перенеся только контент и базу.