💥 С чего всё началось?
Клиент обратился к нам после того, как начали исчезать страницы и товары с сайта. Казалось бы — починили, но всё повторялось. Продажи падали, позиции в поиске летели вниз, клиенты уходили.
📉 Что происходило:
Сайт выпадал из поисковой выдачи — ни трафика, ни заявок.
Хостинг регулярно блокировал сайт: он «падал», уходил в карантин и снова выпадал из поиска.
Антивирус, предложенный хостингом, не работал — вирусы возвращались снова и снова.
🔍 Провели аудит и вот что мы нашли:
В корне сайта лежали подозрительные каталоги и файлы
По директориям были раскиданы вредоносные PHP-файлы с рандомными названиями.
Вирус залез через дыры в популярном шаблоне Аспро.
template.php
header.php
footer.php
А также уязвимые ajax-скрипты:
/ajax/show_basket_popup.php
/ajax/show_basket_fly.php
/ajax/reload_basket_fly.php
И, конечно, типичные вредоносные скрипты, которые маскировались под системные. Например:
<script>if(!localStorage.getItem(...</script>
🤔 Почему вирусы возвращались?
Заражённые “закладки” остались в шаблоне и модулях
После восстановления из бэкапа оставались повреждённые файлы
Уязвимости не устранялись, шаблон и модули не обновлялись
И самое главное — не было защиты для входящих запросов
Как мы реально вылечили сайт на Битриксе от вирусов — без магии, только техно-колдовство 🛠️💻
После трёх волн атак и постоянных повторных заражений, мы пошли по хардкорному пути — и это сработало. Вот что мы сделали:
🔍 Глубокий аудит и ручная чистка
🧹 Полное удаление вредоносного кода
🧩 Удаление уязвимых модулей
🎨 Восстановление шаблона и компонентов
🛡️ Фильтрация POST-запросов
⬆️ Обновление всей системы
Настроили WAF
Перераспределили права доступа
Сменили все пароли
Включили резервное копирование на внешний источник
Запустили постоянный мониторинг изменений
✅ Сайт Заказчика полностью очищен
Ни вирусов, ни “закладок”, ни вредоносных скриптов
Работает мониторинг, который мгновенно реагирует на любые подозрительные изменения
С тех пор — ни одной повторной атаки
Восстановлены все страницы, товары и позиции в поиске
Бизнес снова принимает заказы, а владельцы наконец спят спокойно
💡 Что реально сработало в этом кейсе
🔹Ручной подход.
Автоматические сканеры не справились, поэтому пришлось просматривать и чистить каждый подозрительный файл вручную. Это позволило найти закладки, которые жили в шаблоне и модулях месяцами.
🔹Понимание архитектуры Битрикс.
Было важно точно знать, где и что может быть уязвимо — от модулей до шаблонов популярных сборок. Заражение шло через стандартные места, которые часто остаются без внимания.
🔹Чистка — это только начало.
После удаления вредоносного кода мы восстановили шаблоны, обновили модули, настроили фильтрацию входящих запросов и включили мониторинг изменений файлов.
🔹Профилактика.
Настроили резервные копии, доступы, защиту от повторных атак. Это не “установили антивирус и забыли”, а работа на несколько дней вперёд, чтобы исключить повторения.
Если у вас были похожие случаи — когда вирусы возвращаются даже после "восстановления" — проверьте старые шаблоны, кастомные модули и php.ini в неожиданных местах.
Иногда всё, что нужно — это не новая система, а глубокая чистка и пара часов внимательного аудита.
