8 мин.
5 Что мы нашли
В коде сайта были обнаружены вручную внедрённые вредоносные вставки — настоящий stealth-бэкдор. Этот вирус работал очень хитро и был специально спроектирован, чтобы оставаться незамеченным:
- Определял реальный IP посетителя через HTTP-заголовки и собирал техническую информацию.
- Подключал внешние скрипты и файлы с подозрительных ресурсов.
- Содержал механизмы защиты от поисковых роботов (Яндекс и Google).
- Главный трюк — полностью отключался при входе администратора в панель управления. Админ видел чистый сайт, а обычные посетители — заражённую версию.
- Дополнительно отключал вывод ошибок PHP, чтобы усложнить обнаружение и диагностику.
Часть вредоносного кода сидела в футере сайта. Такие инъекции практически невозможно поставить через стандартные административные формы или модули — для этого требовался прямой доступ к файловой системе (FTP или SSH).
Защита 1С-Битрикс частично блокировала эти фрагменты, но вирус всё равно оставался активным для обычных пользователей. Классический пример продвинутого stealth-вируса, который маскируется именно от тех, кто может его найти и удалить.
Почему такие вирусы появляются на Битриксе
Подобные бэкдоры чаще всего встречаются в проектах, которые:
- переходили между разными подрядчиками,
- имели временные доступы, которые не отозвали вовремя,
- использовали устаревшие версии ядра и модулей,
- долго работали без системной технической поддержки.
В итоге сайт внешне продолжал работать, заказы шли, но внутри постепенно накапливался опасный технический долг, который в любой момент мог привести к утечке данных, падению производительности или блокировке сайта поисковиками.
Как мы это ликвидировали
Пошагово мы сделали следующее:
1. Полная изоляция и подготовка Сразу сменили все пароли: от админки Битрикса, FTP/SSH, базы данных и хостинга. Временно ограничили внешний доступ к сайту, чтобы вирус не мог «подлатать» себя заново во время очистки.
2. Обнаружение и удаление бэкдора Запустили полное сканирование с помощью официального модуля 1С-Битрикс: Поиск троянов (bitrix.xscan). Вручную проверили все подозрительные файлы, особенно в футере, шаблонах, prolog/epilog-файлах и папке /bitrix/. Найденные вредоносные вставки (обфусцированный PHP-код с eval(base64_decode()), подключением внешних скриптов и маскировкой) были полностью удалены. Подозрительные файлы, которые не относились к проекту, удалили целиком.
3. Глубокая очистка системы Очистили все кэши: /bitrix/cache/, /bitrix/managed_cache/, OPCache PHP. Проверили и удалили подозрительные агенты в таблице b_agent (через API Битрикса). Проверили и восстановили стандартные .htaccess файлы, удалив все лишние перезаписывающие правила.
4. Обновление ядра и модулей Обновили ядро 1С-Битрикс и все критически важные модули до актуальных версий. Это закрыло уязвимости, через которые бэкдор мог быть установлен изначально.
5. Исправление ключевого функционала Полностью перебрали и починили работу форм, сценариев оформления заказа, промокодов и уведомлений. Убрали все последствия, которые вирус мог оставить в пользовательских сценариях.
6. Дополнительные меры безопасности Включили и настроили Проактивную защиту Битрикса на максимум. Реализовали недостающий функционал для разных типов клиентов (включая B2B).
Жёсткие выводы для владельцев сайтов
«Сайт работает» — опасная иллюзия. Stealth-бэкдор может годами жить внутри проекта, пока владелец считает, что всё в порядке.
1. Точечные правки бесполезны при наличии вируса. Пока бэкдор сидит в коде, любые новые доработки будут работать нестабильно или вообще терять смысл.
2. Глубокий аудит обязателен. Перед любой, даже небольшой доработкой, стоит проверять сайт на наличие вредоносного кода.
3. Доступы — главный источник риска. Временный FTP или пароль админа, отданный подрядчику и забытый, — один из самых частых путей заражения.
4. Стабилизация и обновления — это не расходы, а инвестиция. Регулярная поддержка и своевременные обновления Битрикса сильно снижают вероятность появления таких «сюрпризов».
Этот кейс в очередной раз показал: лучше один раз жёстко почистить проект и привести его в нормальное состояние, чем потом годами бороться с последствиями скрытого вируса.
Если ваш сайт на 1С-Битрикс начал «подтормаживать», формы ведут себя странно, или вы просто хотите спать спокойно — не откладывайте технический аудит. Иногда одна небольшая правка помогает обнаружить настоящий бэкдор.
Нужен аудит или очистка сайта от вредоносного кода? Напишите нам — разберёмся быстро и по делу.
Послесловие
Стоимость нормальной очистки и стабилизации сайта обычно составляет от нескольких десятков до пары сотен тысяч рублей.
А теперь посчитайте цену бездействия.
Если из-за оставшегося stealth-бэкдора произойдёт утечка персональных данных клиентов (а вирус как раз собирал IP и мог подгружать внешние скрипты), штрафы по ст. 13.11 КоАП РФ в 2026 году начинаются от 3–5 миллионов рублей за утечку данных 1000+ человек и легко доходят до 10–15 миллионов рублей при большем масштабе.
При повторной утечке включаются оборотные штрафы — от 1% до 3% годовой выручки компании (минимум 15–20 млн рублей, максимум до 500 млн).
Плюс репутационные потери, возможные иски от клиентов и риск уголовной ответственности.
Вопрос простой:
Что дешевле — один раз почистить сайт или потом объяснять Роскомнадзору и суду, почему вы оставили вирус внутри?
