Уязвимость unserialize

В конце 2024 года владельцы сайтов на 1С-Битрикс столкнулись с серьезной проблемой безопасности. Пользователи обнаруживают подозрительные файлы (с названиями типа 5af48f540ab8.php) и нетипичным содержимым. Разберемся в природе угрозы и предложим пошаговое решение.

Источник угрозы

 Проблема кроется в функции PHP `unserialize()`, которая используется в технических файлах решений Аспро и некоторых других разработчиков. Согласно официальной документации, эта функция может стать вектором для выполнения произвольного кода злоумышленниками.


 О критической уязвимости уже уведомили пользователей как сами разработчики Аспро, так и многие хостинг-провайдеры через экстренные рассылки.

Комплекс мер по восстановлению безопасности сайта

 Важно понимать: проблема касается не только шаблонов Аспро, но и любых решений с небезопасным использованием функции `unserialize()`. Предлагаем пошаговый алгоритм восстановления:

Шаг 1: Восстановление из резервной копии

 Оптимальное решение — восстановить работу сайта из последней незараженной резервной копии. Учтите, что вредоносный код мог присутствовать на сервере длительное время до обнаружения, поэтому:


- Проверьте несколько предыдущих бэкапов

- Обратитесь к резервным копиям на уровне хостинга, если не настроено резервирование в 1С-Битрикс

- Настройте регулярное создание резервных копий после устранения проблемы

Шаг 2: Санация файловой системы сайта

 При отсутствии доступа к административной панели:


- Подключитесь к серверу через FTP/SFTP

- Внимательно изучите структуру файлов, особое внимание уделяя директориям `/ajax`, `/include`, `/assets`

- Выявите и удалите файлы с нехарактерными названиями, а также проверьте модифицированные `.htaccess` и `php.ini`


 Если сохранился доступ к панели администрирования:


- В актуальных версиях 1С-Битрикс воспользуйтесь встроенным инструментом через «Настройки → Проактивная защита → Поиск троянов → Сканирование файлов»

- Для устаревших версий можно использовать отдельный модуль «Поиск троянов» (архив доступен по отдельной ссылке)


 Рекомендация: При самостоятельной очистке сохраняйте локальные копии удаляемых файлов для возможного восстановления. Однако лучшее решение — привлечение профессионалов.

Шаг 3: Устранение уязвимости

 Важно не только очистить систему, но и закрыть «входную дверь» для повторного заражения:


- Компания Аспро выпустила патчи безопасности для всех своих решений

- Загрузите соответствующий патч для вашего шаблона

- Распакуйте и загрузите файл `fixit.php` в корневую директорию

- Перед запуском обязательно сделайте резервную копию сайта

- Активируйте расширенный поиск, включающий проверку модулей от разработчиков kda и esol (часто используемых для импорта/экспорта каталогов)

- После завершения работы скрипта удалите его с сервера


 При возникновении проблем с автоматическим патчем, обратитесь к инструкции для вашего шаблона и выполните изменения вручную.

Дополнительные меры безопасности

 Рекомендуется провести комплексный поиск по всему коду сайта, выявляя все вхождения функции `unserialize()`. Обнаруженные строки кода требуют доработки для безопасного использования этой потенциально опасной функции.


 Правильное использование unserialize:

unserialize($data); // Так плохо
unserialize($data, ['allowed_classes' => false]); // Так хорошо

 Вместо `$data` может быть любая переменная. Этот второй параметр ограничивает потенциально опасное создание объектов через десериализацию.


 Обратите особое внимание на следующие файлы:


- `reload_basket_fly.php`

- `show_basket_fly.php`

- `show_basket_popup.php`

- `comp_catalog_ajax.php`


 Если в этих файлах используются функции `Solution::unserialize()` или `CMax::unserialize()` – исправлять ничего не нужно, там уже реализована безопасная обработка.


 На форумах часто рекомендуют добавить следующий код в файл `/bitrix/tools/upload.php`:

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  header("Status: 404 Not Found");
  die();
}

 Это действительно может помочь блокировать атаки через загрузку файлов, но такое решение блокирует и легитимные загрузки файлов через административную панель. Используйте этот метод только как временную меру защиты.


 Также обязательно проверьте файл `/bitrix/templates/ваш_шаблон/footer.php` – в конце могут быть внедрены ссылки на сторонние ресурсы.

Шаг 4: Обновление системы

 Чем дольше откладывается обновление, тем сложнее оно будет в будущем. Поставьте в приоритет обновление:


- Ядра 1С-Битрикс до актуальной версии

- Всех установленных решений и модулей

- PHP до версии 8.2 и выше

- MySQL до актуальной версии


 Пока вы не обновите систему, придется регулярно вручную устранять последствия новых уязвимостей. Актуальные версии обеспечивают более высокий уровень безопасности и упрощают поддержку.

Шаг 5: Смена паролей

 После устранения угрозы необходимо:


- Заменить пароли всех администраторов

- Обновить пароли доступа к серверу и базе данных

- По возможности, внедрить двухфакторную аутентификацию


 Это базовая, но эффективная мера безопасности после любого взлома.

Шаг 6: Создание свежей резервной копии

 После всех манипуляций обязательно создайте новую резервную копию восстановленного и защищенного сайта. Она послужит точкой отсчета для дальнейшей работы.

Заключение

 Превентивные меры по защите сайта описаны в соответствующей статье. Следите за актуальной информацией в официальной ветке форума 1С-Битрикс, посвященной этой проблеме.


 Если возникнут сложности с восстановлением, обновлением или защитой сайта – обращайтесь к специалистам, которые помогут решить проблему профессионально и комплексно.















						- [ВКонтакте](https://vk.com/share.php?url=https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&title=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82&utm_source=share2)

						- [Одноклассники](https://connect.ok.ru/offer?url=https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&title=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82&utm_source=share2)

						- [Мой Мир](https://connect.mail.ru/share?url=https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&title=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82&utm_source=share2)

						- [Twitter](https://twitter.com/intent/tweet?text=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82&url=https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&utm_source=share2)

						- [Viber](viber://forward?text=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82%20https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&utm_source=share2)

						- [WhatsApp](https://api.whatsapp.com/send?text=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82%20https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&utm_source=share2)

						- [Skype](https://web.skype.com/share?url=https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&utm_source=share2)

						- [Telegram](https://t.me/share/url?url=https%3A%2F%2Faspro.ru%2Fnews%2Fvzlomy-saytov-aspro%2F&text=%D0%92%D0%B7%D0%BB%D0%BE%D0%BC%D1%8B%20%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%20%D0%BD%D0%B0%20%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D1%8F%D1%85%20%D0%90%D1%81%D0%BF%D1%80%D0%BE%3A%20%D0%BA%D0%B0%D0%BA%20%D0%BE%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%B8%D1%82%D1%8C%20%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82&utm_source=share2)











 Количество кибератак на российский бизнес и пользователей растет. Под угрозой оказались и сайты на решениях Аспро. Осенью 2024 года произошел всплеск публикаций об уязвимостях в наших продуктах. Также по обращениям в техническую поддержку мы наблюдали череду взломов.


 На сегодняшний день ситуация повторяется. Тогда и сейчас мы информируем наших пользователей о кибератаках и необходимости защиты сайта. Рассказываем, почему это происходит и как обезопаситься.

Почему взламывают сайты и как от этого защититься

 Уязвимости мы обнаружили и устранили в обновлениях летом 2023 года. Мы намеренно не афишировали детали: что и когда было исправлено. Это было сделано для того, чтобы злоумышленники не узнали их. В актуальных версиях никаких уязвимостей нет. Страдают проекты на старых версиях или перенесенные, но с ошибками, на новые решения. Поэтому в первую очередь мы рекомендуем продлевать лицензию вовремя, чтобы сразу получать обновления и не беспокоиться об угрозах.











 Хотим быть полностью открытыми и поделиться принятыми мерами по защите сайтов. Мы сделали следующее:


- Выслали инструкции по исправлению уязвимости владельцам решений, снятых с поддержки.

- Призвали владельцев актуальных решений обновить проект в целях устранения уязвимости.

- Добавили информацию в Центр управления в административной панели сайта.


 К сожалению, почти невозможно донести информацию до каждого пользователя. А у многих просто нет финансовой или технической возможностей обновиться. Мы это понимаем и намерены защитить ваш сайт, даже если сейчас не можете обновиться. Поэтому публикуем инструкцию, как обезопаситься от взломов.


 Устранить уязвимость требуется сайтам, которые:


-  сняты с поддержки;

-  не обновлялись с лета 2023 года;

-  мигрировали со старых решений.

Патчер для устранения уязвимости

 Мы сделали для вас патчер, который автоматически просканирует сайт, покажет и устранит уязвимости. Потребуется его скачать, установить на сайт и запустить. Это поможет просто обезопаситься без копания в коде, обновления и потери кастомизации. Как воспользоваться патчером, подробно описали в инструкции по кнопке ниже.

Скачать патчер

Скачать патчер с нашего сайта

Инструкции по самостоятельному устранению уязвимости

 Если не хотите использовать патчер, вы можете устранить уязвимость самостоятельно или обратиться в техподдержку на почту [support@aspro.ru](mailto:support@eu-digital.ru) Владельцам активной лицензии будет удобно связаться со специалистом на нашем сайте. Поможем абсолютно бесплатно. Выбирайте ваше решение и следуйте инструкции.

Интернет-магазины

- [Аспро: Лайтшоп](https://eu-digital.ru/kb/article/460/)

- [Аспро: Премьер](https://eu-digital.ru/kb/article/458/)

- [Аспро: Максимум](https://eu-digital.ru/kb/article/459/)

- [Аспро: Next](https://eu-digital.ru/kb/article/462/)

- [Аспро: Оптимус](https://eu-digital.ru/kb/article/463/)

- [Аспро: Маркет](https://eu-digital.ru/kb/article/464/)

Корпоративные сайты

- [Аспро: Приорити 2.0](https://eu-digital.ru/kb/article/461/)

- [Аспро: Корпоративный сайт 3.0](https://eu-digital.ru/kb/article/466/)

- [Аспро: Корпоративный сайт 2.0](https://eu-digital.ru/kb/article/454/)

- [Аспро: Корпоративный сайт современной компании](https://eu-digital.ru/kb/article/455/)

- [Аспро: Корпоративный сайт](https://eu-digital.ru/kb/article/467/)

Отраслевые сайты

-  [Аспро: Автосервис](https://eu-digital.ru/kb/article/453/)

-  [Аспро: Ландшафт 2.0](https://eu-digital.ru/kb/article/449/)

-  [Аспро: Курорт 2.0](https://eu-digital.ru/kb/article/452/)

-  [Аспро: Детский сад и образовательный центр](https://eu-digital.ru/kb/article/450/)

-  [Аспро: Инжиниринг](https://eu-digital.ru/kb/article/451/)

-  [Аспро: Стройка 2.0](https://eu-digital.ru/kb/article/448/)

-  [Аспро: Медицинский центр 3.0](https://eu-digital.ru/kb/article/456/)

-  [Аспро: Digital 2.0](https://eu-digital.ru/kb/article/447/)

-  [Аспро: Металл](https://eu-digital.ru/kb/article/457/)

- [Аспро: Шины и диски 2.0](https://eu-digital.ru/kb/article/465/)

Решения, снятые с поддержки

 Для устранения уязвимости в старых решениях используйте [следующую инструкцию](https://aspro//kb/article/446/), она общая и универсальная, подходит для всех решений. Это поможет защитить сайты:


-  Аспро: Digital

-  Аспро: Интернет-магазин

-  Аспро: Крутой шоп

-  Аспро: Ландшафт

-  Аспро: Медицинский центр 2.0

-  Аспро: Курорт

-  Аспро: Стройка

-  Аспро: Шины и диски

-  Аспро: Приорити


 Пожалуйста, не пренебрегайте безопасностью вашего проекта. Устранение уязвимости защитит сайт и все его данные.

Часто задаваемые вопросы

1. Если я использую патчер, то могу не продлевать решение?

 Нет. Патчер и инструкции — это не замена обновлений, а «латание дыр».


 Чтобы минимизировать риск дальнейших вторжений, необходимо всегда поддерживать самую актуальную версию сайта. Для получения обновлений лицензия Аспро должна быть активной. Поэтому мы рекомендуем приобретать продление.

2. У меня все обновлено, но все равно есть уязвимость. В чем дело?

 Это может произойти, если вы выполнили некорректную миграцию со старого решения и оставили с него старые файлы. В этом случае сайт лучше просканировать патчером.


 Например, пользователь Аспро: Лайтшоп установил последнюю версию решения, но на сайте сохранились уязвимые файлы, которые во время переноса остались со старого Аспро: Маркет.

3. Есть ли уязвимость в новых решениях Аспро: Премьер и Аспро: Приорити 2.0?

 В Аспро: Премьер и Аспро: Приорити 2.0 изначально не было уязвимости unserialize, но если проводилась миграция со старого решения Аспро, то проблема может быть актуальной (см вопрос №2).

4. Что делает патчер?

 Патчер используется для нахождения и обработки уязвимостей unserialize. Он модифицирует подозрительные файлы, а те, которых быть не должно — удаляет.


 В списке отсканированных патчером файлов вы можете выбирать, над какими файлами производить манипуляции.

5. Будут ли проблемы, если у меня 2 сайта в режиме многосайтовости?

 Нет, при использовании патчера/инструкции с многосайтовостью проблем быть не должно

Алгоритм для виртуального хостинга таймвеб

 Советую действовать по алгоритму:



 1) Смените пароли от своего аккаунта (FTP и SSH) и административной панели сайта ( [http://help.tweb.link/7Xh](http://help.tweb.link/7Xh) ).



 2) Восстановите сайт из резервной копии. Причем восстанавливать необходимо в чистую директорию и базу данных. То есть, вы можете переименовать или удалить оригинальную директорию, после сделать дамп базы и удалить все таблицы из оригинальной базы, а затем уже запустить восстановление.



 Подробнее о восстановлении из резервной копии: [http://help.tweb.link/1mw](http://help.tweb.link/1mw)



 Перед удалением директории с файлами сайта необходимо завершить все процессы на аккаунте, подключившись по SSH ( [http://help.tweb.link/8ce](http://help.tweb.link/8ce) ), команда для завершения:

killall -9 -u $(whoami)

 3) Обновите все программные компоненты, включая плагины. Это важный этап, потому что без обновления CMS уязвимость не будет устранена, и ваш сайт могут взломать еще раз.



 Рекомендации по действиям при заражении вредоносным кодом: [http://help.tweb.link/1v2](http://help.tweb.link/1v2)



 Если вам понадобится помощь с восстановлением, пожалуйста, подтвердите, что мы можем завершить все процессы на аккаунте, удалить файлы сайта и базы данных перед их восстановлением, а также назовите дату на которую нужно восстанавливать.