Инструкция по удалению майнера с сайта на 1С-Битрикс

На конец то, мы готовы публично выложить инструкцию по очистке сайтов от нашумевшего майнера. Вирус использует ресурсы компьютера посетителя сайта для майнинга криптовалют. В этом можно убедиться, открыв менеджер задач и проверив статистику загрузки процессора в момент визита заражённого сайта.

Заметка:
Вирус не всегда прибывает в активном состоянии, возможно, чтобы сбить с толку и скрыть своё присутствие. Попробуйте перезагрузить главную страницу или попробовать позже. В любом случае в его присутствии можно убедиться по наличию скриптов.

Майнер состоит из 2-х файлов:
/bitrix/js/main/core/core_loader.js
/bitrix/js/main/core/core_tasker.js

На сайт залит веб шелл /bitrix/tools/check_files.php

И backdoor /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php (при определённой комбинации параметров передаваемых под видом UTM меток авторизовывает под пользователем ID=1 т.е. администратором). Возможно он так же прописан в /bitrix/modules/main/include.php

Проверьте, есть ли файл /restore.php в корне сайта. Если есть, то удалите его. Очень часто администраторы после переноса сайта забывают сделать это, что так же открывает "лазейку" для злоумышленников.

После удаления всех файлов (кроме /bitrix/modules/main/include.php) смените пароль на всех пользователях с правами администратора. Просим вас не пренебрегать правилами хранения паролей. Не храните их в браузере и используйте антивирусное ПО.

Узнать есть ли майнер на вашем сайте вы можете в нашем сервисе.

Также можете посмотреть статистику заражения сайтов, которые проходили проверку через наш сервис. Цифры действительно впечатляют.