Атаки на сайты Aspro в 2025 году
В начале 2025 года произошла новая волна атак на сайты, работающие на CMS Bitrix, особенно на шаблонах Aspro. Мы курируем множество проектов, и эта ситуация продемонстрировала, что даже разные хостинги и настройки не дают полной гарантии защиты. Среди сайтов, находящихся под нашим управлением на шаблонах Аспро, значительная часть оказалась заражена вредоносным кодом. Во всех случаях взломы происходили через уязвимости в файлах шаблона, а попытки восстановления из резервных копий не давали результата. Хостинг-провайдеры подтвердили, что такие инциденты становятся всё чаще.
Поэтому мы подготовили этот материал, чтобы помочь владельцам сайтов понять:
- Как именно происходит взлом?
- Какие файлы Aspro уязвимы?
- Как защитить свой сайт, даже если обновление шаблона невозможно?
- Как эффективно удалить вирус, если заражение уже произошло?
Признаки заражения:
ForbiddenYou don’t have permission to access this resource.Apache/2.4.55 (Unix) Server at сайт.ru Port 80
- Ошибка загрузки сайта (403, 500 или «Сервер не найден»)
- Некорректная работа каталога, корзины или админки
- Появление новых файлов с незнакомыми именами (в нашем случае, 5af47f5502b6.php)
- Изменение содержимого .htaccess
- Внедрение вредоносного кода в системные файлы
Основная уязвимость
Ключевая проблема связана с функцией unserialize() в некоторых файлах шаблонов:
$arIncludeParams = unserialize(urldecode($_POST["AJAX_PARAMS"]));Рекомендации по защите
1. Срочное удаление вредоносных файлов
Проверьте следующие директории:
- /ajax/
- /bitrix/modules/
- /bitrix/cache/
- /upload/
Удалите все подозрительные файлы и проверьте .htaccess в /bitrix/ и /bitrix/admin/
2. Обновление системы
Произведите обновление до последних версий:
- Битрикс: Управление сайтом
- Шаблоны Aspro
3. Ручные исправления
Если обновление невозможно, внесите изменения в следующие файлы:
comp_catalog_ajax.php
if ($_POST["AJAX_PARAMS"] && !is_array(unserialize(urldecode($_POST["AJAX_PARAMS"]), ["allowed_classes" => false]))) {
header('HTTP/1.1 403 Forbidden');
die();
}
$arIncludeParams = unserialize(urldecode($_POST["AJAX_PARAMS"]), ["allowed_classes" => false]);
Файлы корзины
if (!is_array(unserialize(urldecode($_REQUEST["PARAMS"]), ["allowed_classes" => false]))) {
header('HTTP/1.1 403 Forbidden');
die();
}
$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ["allowed_classes" => false]);
4. Дополнительные меры безопасности
- Запрет выполнения PHP в /upload/ и /ajax/ через .htaccess
- Установка прав доступа 500 для критических папок и index.php
- Ограничение доступа к /bitrix/admin/ по IP
- Использование антивируса Битрикс
Реальный опыт пользователей
«Тоже столкнулись с такой проблемой. Обновить АСПРО не можем. Можете подсказать, в чем там уязвимость?» — Кирилл
Ответ: «Уязвимость связана с unserialize(). Если обновиться нельзя, исправьте файлы вручную.»
«Закрыли уязвимости, но заражение не исчезло.» — Инна
Ответ: «Нужно не только закрыть уязвимости, но и удалить вирусные файлы.»
Вывод
Для защиты вашего сайта необходимо принять следующие меры:
1. Удалить все вредоносные файлы
Проверьте сервер на наличие подозрительных файлов, таких как веб-шеллы или криптомайнеры, которые могли быть загружены через уязвимости в старых версиях шаблонов. Для этого используйте антивирусные сканеры или автоматические инструменты, например, скрипт Вяткина, чтобы обнаружить и удалить вредоносный код.
2. Закрыть известные уязвимости
Уязвимые скрипты, такие как reload_basket_fly.php, show_basket_fly.php и show_basket_popup.php, были исправлены в новых версиях шаблонов Aspro. Замените их на безопасные версии или примените патчи, если полное обновление системы пока невозможно.
3. Обновить систему и шаблоны
Регулярные обновления — ключ к безопасности. Установите последнюю версию Bitrix CMS и шаблона Aspro (например, для Aspro: Next — это версия 1.9.9 или выше). Если обновление затруднено из-за кастомизаций, обратитесь к разработчикам или специалистам для точечных исправлений.
4. Принять дополнительные меры безопасности
Помимо базовых шагов, важно:
- Регулярно сканировать сайт на уязвимости с помощью специализированных инструментов.
- Настроить фаервол и системы обнаружения вторжений (IDS) для мониторинга подозрительной активности.
- Внедрить регулярное резервное копирование данных для быстрого восстановления сайта после атаки.
- Ограничить доступ к административной панели и серверу с помощью двухфакторной аутентификации и белых списков IP-адресов.
Следуя этим рекомендациям, вы сможете обновить защиту сайта и закрыть критические уязвимости, минимизируя риск потерь. Если вам нужна помощь, обращайтесь к нам — мы поможем вам защитить ваш проект.
Заражение сайтов на Bitrix с шаблонами Aspro показало, насколько уязвимым может стать сайт из-за устаревшего программного обеспечения. Это не исключительная проблема Bitrix — подобные риски из-за старых скриптов есть и в других популярных CMS, таких как WordPress, Joomla, Drupal или Magento. Никто не застрахован от атак: хакеры ищут слабые места, будь то непропатченный плагин в WordPress, устаревший модуль в Joomla или забытая версия ядра в Drupal. Угрозы подстерегают повсюду, и ни одна система не гарантирует полной защиты без должного внимания.
Более того, такие инциденты крайне негативно сказываются на SEO. Вредоносный код может привести к санкциям от поисковиков, снижению видимости и даже полной потере позиций в выдаче. Есть примеры, когда из-за заражения сайты теряли трафик и откатывались на десятки позиций назад. Чем раньше вы заметите проблему и устраните её, тем меньше будут последствия для репутации и ранжирования.
Разработчики Aspro оперативно выпустили обновления, закрывающие уязвимости, поэтому обновите свой сайт до последней версии как можно скорее. У них также есть удобный патчер для быстрого устранения проблем. Регулярные обновления — это не просто рутина, а ключ к безопасности и стабильности в современном интернете.
Следуйте нашим рекомендациям, обновите защиту и обеспечьте своему сайту надёжную работу. Чем быстрее вы реагируете на угрозы, тем лучше защищаете свой проект от потерь — как финансовых, так и репутационных.
