Частые массовые дефейсы сайтов Bitrix

В 2022 году начали происходить первые дефейс атаки на сервисе Bitrix, а весной 2023 года они стали массовыми. Данное явление связано с политической ситуацией в мире. Веб-дефейс — это атака, при которой злоумышленники проникают на веб-сайт и заменяют контент своим собственным. Сообщения могут содержать политическую или религиозную информацию, ненормативную лексику или другой неприемлемый контент, который может смутить посетителей веб-сайта. 

Один из вирусов имеет свое название “Fine”. Он проникает через дополнения системы. Злоумышленники встраивают код в доверенную систему, либо уязвимость в самой CMS (Система управления контентом), а также через надстройки. 

Уже в начале 2025 года на платформе Bitrix пришел массовый дефейс веб-серверов. Вирус попадает через уязвимость, предположительно в системе Aspro или самого сервиса Bitrix. Он перезапускается через ошибку 404 и делает запрос прав на главную страницу, создавая аккаунт администратора. Затем постепенно внедряется в систему, создавая скрипты с вредоносным кодом или модифицируя их, получает доступ к данным. Затем он создает папки непонятными названиями, где находятся статьи определенного рода. Все это приводит к дефейсу сайта, и страницы заполняется сомнительным контентом. 

В качестве примера рассмотрим сайт ipboom.ru. В феврале вирус эксплуатировал известную уязвимость в модуле и распространялся на сайте в течении недели, где по итогу разместил информацию политического характера. Вирус оставил свой “след”, и было очевидно, что злоумышленниками являются студенты университета Florida. Решением стала перезагрузка сервера и тщательная чистка сайта, и что немаловажно, редактирование аккаунтов администраторов. 

Возможно предостеречь свой сайт от подобных ситуаций. Базовый список мер, которые вы можете предпринять для защиты сайта уже сейчас: 

• Обновление Bitrix и всех компонентов системы до последней версии

• Просмотреть сайт на наличие вредоносного JS-кода

• Регулярное создание резервных копий

• Удаление подозрительных файлов и бэкдора 

• Регулярно менять пароли доступа к серверу и базе данных

• Включить проактивную защиту CMS Bitrix

• Почистить кэш