Как защитить сайты на Аспро от взлома

По данным экспертов ежегодно увеличивается количество кибернетических атак на ресурсы, которые когда-то казались надежными. Не стало исключением и Аспро – популярное технологическое решение, на базе которого функционируют многие интернет-магазины и корпоративные сайты. Пик активности хакеров пришелся на осень 2024 года, когда пользователи массово столкнулись с различными уязвимостями продуктов Аспро, включая волну взломов.

Прогресс не стоит на месте, и злоумышленники также уверенно пользуются им, как и рядовые пользователи. Эксперты по кибербезопасности рекомендуют следить за новостями об обнаруженных уязвимостях популярных продуктов и следовать рекомендациям по защите сайтов и других типов ресурсов. В статье расскажем, как происходит взлом, а также как защититься от злоумышленников самостоятельно.

Как взламывают ресурсы и можно ли защититься

Нередко производители платформ и решений для сайтов обнаруживают уязвимости, но не афишируют их для широкой публики, чтобы не предупреждать злоумышленников. Различные дефекты систем безопасности программ и других продуктов исправляются без оповещения пользователей через обновления. Пользователи, которые регулярно скачивают обновления из проверенных источников, защищены, так как в актуальных версиях все дефекты безопасности как правило исправлены.

Самыми уязвимыми для взлома являются проекты на старых версиях технологических решений, а также проекты, которые были перенесены на новые версии с ошибками. Продление лицензий и обновление позволяет надежно защитить интернет-магазин или корпоративный сайт, но не все пользователи следуют этим рекомендациям. Иногда причины отсутствия обновления кроется в финансовых или технических ограничениях пользователей. При отсутствии возможности регулярно получать официальные обновления, пользователи могут выполнить некоторые действия самостоятельно по нашей инструкции.

Защита от уязвимостей требуется сайтам:

• Без актуальной технической поддержки; 
• Не получавшим обновлений из надежных источников в течение нескольких лет; 
• Были перенесены со старых технических решений на новые.

Как устранить уязвимости самостоятельно

Многие интернет-магазины функционируют на базе того технологического решения. Электронная коммерция сегодня ежедневно имеет дело с конфиденциальной пользовательской информацией, включая данные банковских карт, потому устранять уязвимости на таких ресурсах крайне важно.

Если ваш сайт работает не на решении от Аспро, а на другом движке или написан с нуля, но вы обнаружили признаки заражения, выполните все этапы очистки. Уязвимость, связанная с функцией unserialize, может затронуть не только шаблоны Аспро, но и любые сайты.

1. Восстановление из резервной копии

Лучший вариант – откатиться на последнюю версию сайта. Однако стоит учитывать, что вредоносные файлы могли проникнуть на сервер задолго до того, как вы их заметили. Поэтому может понадобиться несколько попыток восстановления, если бэкап уже содержит зараженные файлы.

Если вы не создавали резервные копии через 1С-Битрикс, проверьте, есть ли сохраненные версии у вашего хостинг-провайдера. Также настройте регулярное создание бэкапов, чтобы в будущем избежать подобных проблем.

2. Удалите вредоносные файлы

Тут надо подключаться напрямую к серверу через FTP/SFTP в случае если сайт не загружается и вручную проверьте содержимое папок. Надо искать файлы с непонятными названиями, которые выглядят очень неестественно. Ищите php.ini и .htaccess, которых не должно быть в определенных каталогах.

При самостоятельной очистке следуйте алгоритму:

• Скачайте подозрительный файл на свой компьютер.
• Удалите его с сервера.
• Проверьте, исправилась ли работа сайта.

Хранение копий удаляемых файлов позволит восстановить их в случае ошибки. Если у вас нет опыта в таких вопросах, лучше обратиться к специалистам.

Проверьте папки /ajax, /include, /assets – в них часто находятся вредоносные скрипты.

Если админка сайта доступна, запустите встроенный антивирус в 1С-Битрикс. Однако он может не работать нормально на старых версиях и не обнаружить все угрозы, поэтому важно обновить систему и использовать актуальные инструменты защиты.

3. Закройте уязвимость

Надо не просто очистить сайт от вируса , а обязательно полностью закрыть уязвимость, иначе заражения обаятельно повториться вновь.

Аспро выпустил специальный патчер, который можно у них скачать, и он сам просканирует сайт и устранит уязвимость.

Чтобы их установить, загрузите соответствующий архив, распакуйте его, переместите файл fixit.php в корневую директорию сайта и откройте его в браузере по адресу [ваш сайт]/fixit.php.

После завершения обязательно удалите fixit.php с сервера.

Стоит проверить весь проект на использование функции unserialize. В коде она должна выглядеть так:

unserialize($data, ['allowed_classes' => false]);

Как предварить заражение в будущем?

Самое важное, что нужно делать, чтобы минимизировать шансы нарваться на вирус – это регулярно обновлять систему. Этот простой совет защитит ваш сайт. Все обновления всегда "латают дырки" предыдущих версий. Обновляйте и сам 1С Битрикс и все установленные модули до актуальных версий.

Также важно перейти на PHP 8.2 и выше, а MySQL обновить до последней версии.

Меняйте пароли после взлома к админке сайта, серверу и базе данных и FTP/SFTP.

Это минимальная мера безопасности, которая поможет предотвратить повторные атаки.

После всех изменений обязательно сделайте новый резервный бэкап сайта. Он понадобится в случае повторных атак или ошибок.

Где искать уязвимости на шаблонах

• В файле /bitrix/components/aspro/tabs.lite/templates/.default/page_blocks/catalog_block.php 
• В файле bitrix/components/aspro/oneclickbuy.lite/script.php

• /ajax/reload_basket_fly.php
• /ajax/show_basket_fly.php
• /ajax/show_basket_popup.php
• /include/mainpage/comp_catalog_ajax.php
• /bitrix/components/aspro/oneclickbuy.max/script.php.

• /ajax/reload_basket_fly.php
• /ajax/show_basket_fly.php
• /ajax/show_basket_popup.php
• /include/mainpage/comp_catalog_ajax.php
• /bitrix/components/aspro/oneclickbuy.tires2/script.php

• /ajax/form.php
• /ajax/reload_basket_fly.php
• /ajax/show_basket_fly.php
• /ajax/show_basket_popup.php,
• /include/mainpage/comp_catalog_ajax.php
• /bitrix/components/aspro/oneclickbuy.next/script.php

• /ajax/reload_basket_fly.php
• /ajax/show_basket_fly.php
• /ajax/show_basket_popup.php
• /include/mainpage/comp_catalog_ajax.php
• /bitrix/components/aspro/oneclickbuy.optimus/script.php

• /ajax/form.php
• /ajax/reload_basket_fly.php
• /ajax/show_basket_fly.php
• /ajax/show_basket_popup.php
• /bitrix/components/aspro/oneclickbuy.mshop/script.php

• /ajax/form.php
• /include/mainpage/comp_catalog_ajax.php
• /bitrix/components/aspro/form.allcorp2/component.php

• Проблема находится в файле /bitrix/components/aspro/form.allcorp/component.php. 

Для минимизации риска взлома сайта следует постоянно поддерживать его программное обеспечение в актуальном состоянии. Игнорирование обновлений и постоянное устранение проблем вручную может усугубить проблему в будущем. Я рекомендую продлевать лицензию, а также обращаться к специалистам при отсутствии такой возможности для диагностики и восстановления работоспособности ресурса.

Уязвимости могут быть обнаружены даже при скачивании обновлений. В том случае проблема кроется в ошибках файлов при миграции со старого решения. Некоторые программы Аспро не имеют уязвимости типа unserialize в своих версиях, но она может появляться также при переносе старых файлов.

При работе в режиме многосайтовости также следует выполнять проверки уязвимых мест и устранять их вручную по инструкции при необходимости. Специалист Doctor Max придет на помощь в случае, если выполнить поиск проблемных категорий не получится самостоятельно. Я хорошо знаком с продуктами Аспро и уверенно исправлю любые слабые места в решениях любой версии.