Уязвимость unserialize

В конце 2024 года владельцы сайтов на 1С-Битрикс столкнулись с серьезной проблемой безопасности. Пользователи обнаруживают подозрительные файлы (с названиями типа 5af48f540ab8.php) и нетипичным содержимым. Разберемся в природе угрозы и предложим пошаговое решение.

Источник угрозы

Проблема кроется в функции PHP unserialize(), которая используется в технических файлах решений Аспро и некоторых других разработчиков. Согласно официальной документации, эта функция может стать вектором для выполнения произвольного кода злоумышленниками.

О критической уязвимости уже уведомили пользователей как сами разработчики Аспро, так и многие хостинг-провайдеры через экстренные рассылки.

Комплекс мер по восстановлению безопасности сайта

Важно понимать: проблема касается не только шаблонов Аспро, но и любых решений с небезопасным использованием функции unserialize(). Предлагаем пошаговый алгоритм восстановления:

Шаг 1: Восстановление из резервной копии

Оптимальное решение — восстановить работу сайта из последней незараженной резервной копии. Учтите, что вредоносный код мог присутствовать на сервере длительное время до обнаружения, поэтому:

• Проверьте несколько предыдущих бэкапов

• Обратитесь к резервным копиям на уровне хостинга, если не настроено резервирование в 1С-Битрикс

• Настройте регулярное создание резервных копий после устранения проблемы

Шаг 2: Санация файловой системы сайта

При отсутствии доступа к административной панели:

• Подключитесь к серверу через FTP/SFTP

• Внимательно изучите структуру файлов, особое внимание уделяя директориям /ajax, /include, /assets

• Выявите и удалите файлы с нехарактерными названиями, а также проверьте модифицированные .htaccess и php.ini

Если сохранился доступ к панели администрирования:

• В актуальных версиях 1С-Битрикс воспользуйтесь встроенным инструментом через «Настройки → Проактивная защита → Поиск троянов → Сканирование файлов»

• Для устаревших версий можно использовать отдельный модуль «Поиск троянов» (архив доступен по отдельной ссылке)

Рекомендация: При самостоятельной очистке сохраняйте локальные копии удаляемых файлов для возможного восстановления. Однако лучшее решение — привлечение профессионалов.

Шаг 3: Устранение уязвимости

Важно не только очистить систему, но и закрыть «входную дверь» для повторного заражения:

• Компания Аспро выпустила патчи безопасности для всех своих решений

• Загрузите соответствующий патч для вашего шаблона

• Распакуйте и загрузите файл fixit.php в корневую директорию

• Перед запуском обязательно сделайте резервную копию сайта

• Активируйте расширенный поиск, включающий проверку модулей от разработчиков kda и esol (часто используемых для импорта/экспорта каталогов)

• После завершения работы скрипта удалите его с сервера

При возникновении проблем с автоматическим патчем, обратитесь к инструкции для вашего шаблона и выполните изменения вручную.

Дополнительные меры безопасности

Рекомендуется провести комплексный поиск по всему коду сайта, выявляя все вхождения функции unserialize(). Обнаруженные строки кода требуют доработки для безопасного использования этой потенциально опасной функции.

Правильное использование unserialize:

unserialize($data); // Так плохо
unserialize($data, ['allowed_classes' => false]); // Так хорошо

Вместо $data может быть любая переменная. Этот второй параметр ограничивает потенциально опасное создание объектов через десериализацию.

Обратите особое внимание на следующие файлы:

• reload_basket_fly.php

• show_basket_fly.php

• show_basket_popup.php

• comp_catalog_ajax.php

Если в этих файлах используются функции Solution::unserialize() или CMax::unserialize() – исправлять ничего не нужно, там уже реализована безопасная обработка.

На форумах часто рекомендуют добавить следующий код в файл /bitrix/tools/upload.php:

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
header("Status: 404 Not Found");
die();
}

Это действительно может помочь блокировать атаки через загрузку файлов, но такое решение блокирует и легитимные загрузки файлов через административную панель. Используйте этот метод только как временную меру защиты.

Также обязательно проверьте файл /bitrix/templates/ваш_шаблон/footer.php – в конце могут быть внедрены ссылки на сторонние ресурсы.

Шаг 4: Обновление системы

Чем дольше откладывается обновление, тем сложнее оно будет в будущем. Поставьте в приоритет обновление:

• Ядра 1С-Битрикс до актуальной версии

• Всех установленных решений и модулей

• PHP до версии 8.2 и выше

• MySQL до актуальной версии

Пока вы не обновите систему, придется регулярно вручную устранять последствия новых уязвимостей. Актуальные версии обеспечивают более высокий уровень безопасности и упрощают поддержку.

Шаг 5: Смена паролей

После устранения угрозы необходимо:

• Заменить пароли всех администраторов

• Обновить пароли доступа к серверу и базе данных

• По возможности, внедрить двухфакторную аутентификацию

Это базовая, но эффективная мера безопасности после любого взлома.

Шаг 6: Создание свежей резервной копии

После всех манипуляций обязательно создайте новую резервную копию восстановленного и защищенного сайта. Она послужит точкой отсчета для дальнейшей работы.

Заключение

Превентивные меры по защите сайта описаны в соответствующей статье. Следите за актуальной информацией в официальной ветке форума 1С-Битрикс, посвященной этой проблеме.

Если возникнут сложности с восстановлением, обновлением или защитой сайта – обращайтесь к специалистам, которые помогут решить проблему профессионально и комплексно.

• ВКонтакте

• Одноклассники

• Мой Мир

• Twitter

• Viber

• WhatsApp

• Skype

• Telegram

Количество кибератак на российский бизнес и пользователей растет. Под угрозой оказались и сайты на решениях Аспро. Осенью 2024 года произошел всплеск публикаций об уязвимостях в наших продуктах. Также по обращениям в техническую поддержку мы наблюдали череду взломов.

На сегодняшний день ситуация повторяется. Тогда и сейчас мы информируем наших пользователей о кибератаках и необходимости защиты сайта. Рассказываем, почему это происходит и как обезопаситься.

Почему взламывают сайты и как от этого защититься

Уязвимости мы обнаружили и устранили в обновлениях летом 2023 года. Мы намеренно не афишировали детали: что и когда было исправлено. Это было сделано для того, чтобы злоумышленники не узнали их. В актуальных версиях никаких уязвимостей нет. Страдают проекты на старых версиях или перенесенные, но с ошибками, на новые решения. Поэтому в первую очередь мы рекомендуем продлевать лицензию вовремя, чтобы сразу получать обновления и не беспокоиться об угрозах.

Хотим быть полностью открытыми и поделиться принятыми мерами по защите сайтов. Мы сделали следующее:

• Выслали инструкции по исправлению уязвимости владельцам решений, снятых с поддержки.

• Призвали владельцев актуальных решений обновить проект в целях устранения уязвимости.

• Добавили информацию в Центр управления в административной панели сайта.

К сожалению, почти невозможно донести информацию до каждого пользователя. А у многих просто нет финансовой или технической возможностей обновиться. Мы это понимаем и намерены защитить ваш сайт, даже если сейчас не можете обновиться. Поэтому публикуем инструкцию, как обезопаситься от взломов.

Устранить уязвимость требуется сайтам, которые:

• сняты с поддержки;

• не обновлялись с лета 2023 года;

• мигрировали со старых решений.

Патчер для устранения уязвимости

Мы сделали для вас патчер, который автоматически просканирует сайт, покажет и устранит уязвимости. Потребуется его скачать, установить на сайт и запустить. Это поможет просто обезопаситься без копания в коде, обновления и потери кастомизации. Как воспользоваться патчером, подробно описали в инструкции по кнопке ниже.

Скачать патчер

Скачать патчер с нашего сайта

Инструкции по самостоятельному устранению уязвимости

Если не хотите использовать патчер, вы можете устранить уязвимость самостоятельно или обратиться в техподдержку на почту support@aspro.ru Владельцам активной лицензии будет удобно связаться со специалистом на нашем сайте. Поможем абсолютно бесплатно. Выбирайте ваше решение и следуйте инструкции.

Интернет-магазины

• Аспро: Лайтшоп

• Аспро: Премьер

• Аспро: Максимум

• Аспро: Next

• Аспро: Оптимус

• Аспро: Маркет

Корпоративные сайты

• Аспро: Приорити 2.0

• Аспро: Корпоративный сайт 3.0

• Аспро: Корпоративный сайт 2.0

• Аспро: Корпоративный сайт современной компании

• Аспро: Корпоративный сайт

Отраслевые сайты

• Аспро: Автосервис

• Аспро: Ландшафт 2.0

• Аспро: Курорт 2.0

• Аспро: Детский сад и образовательный центр

• Аспро: Инжиниринг

• Аспро: Стройка 2.0

• Аспро: Медицинский центр 3.0

• Аспро: Digital 2.0

• Аспро: Металл

• Аспро: Шины и диски 2.0

Решения, снятые с поддержки

Для устранения уязвимости в старых решениях используйте следующую инструкцию, она общая и универсальная, подходит для всех решений. Это поможет защитить сайты:

• Аспро: Digital

• Аспро: Интернет-магазин

• Аспро: Крутой шоп

• Аспро: Ландшафт

• Аспро: Медицинский центр 2.0

• Аспро: Курорт

• Аспро: Стройка

• Аспро: Шины и диски

• Аспро: Приорити

Пожалуйста, не пренебрегайте безопасностью вашего проекта. Устранение уязвимости защитит сайт и все его данные.

Часто задаваемые вопросы

1. Если я использую патчер, то могу не продлевать решение?

Нет. Патчер и инструкции — это не замена обновлений, а «латание дыр».

Чтобы минимизировать риск дальнейших вторжений, необходимо всегда поддерживать самую актуальную версию сайта. Для получения обновлений лицензия Аспро должна быть активной. Поэтому мы рекомендуем приобретать продление.

2. У меня все обновлено, но все равно есть уязвимость. В чем дело?

Это может произойти, если вы выполнили некорректную миграцию со старого решения и оставили с него старые файлы. В этом случае сайт лучше просканировать патчером.

Например, пользователь Аспро: Лайтшоп установил последнюю версию решения, но на сайте сохранились уязвимые файлы, которые во время переноса остались со старого Аспро: Маркет.

3. Есть ли уязвимость в новых решениях Аспро: Премьер и Аспро: Приорити 2.0?

В Аспро: Премьер и Аспро: Приорити 2.0 изначально не было уязвимости unserialize, но если проводилась миграция со старого решения Аспро, то проблема может быть актуальной (см вопрос №2).

4. Что делает патчер?

Патчер используется для нахождения и обработки уязвимостей unserialize. Он модифицирует подозрительные файлы, а те, которых быть не должно — удаляет.

В списке отсканированных патчером файлов вы можете выбирать, над какими файлами производить манипуляции.

5. Будут ли проблемы, если у меня 2 сайта в режиме многосайтовости?

Нет, при использовании патчера/инструкции с многосайтовостью проблем быть не должно

Алгоритм для виртуального хостинга таймвеб

Советую действовать по алгоритму:

1. Смените пароли от своего аккаунта (FTP и SSH) и административной панели сайта ( http://help.tweb.link/7Xh ).

2. Восстановите сайт из резервной копии. Причем восстанавливать необходимо в чистую директорию и базу данных. То есть, вы можете переименовать или удалить оригинальную директорию, после сделать дамп базы и удалить все таблицы из оригинальной базы, а затем уже запустить восстановление.

Подробнее о восстановлении из резервной копии: http://help.tweb.link/1mw

Перед удалением директории с файлами сайта необходимо завершить все процессы на аккаунте, подключившись по SSH ( http://help.tweb.link/8ce ), команда для завершения:

killall -9 -u $(whoami)

3. Обновите все программные компоненты, включая плагины. Это важный этап, потому что без обновления CMS уязвимость не будет устранена, и ваш сайт могут взломать еще раз.

Рекомендации по действиям при заражении вредоносным кодом: http://help.tweb.link/1v2

Если вам понадобится помощь с восстановлением, пожалуйста, подтвердите, что мы можем завершить все процессы на аккаунте, удалить файлы сайта и базы данных перед их восстановлением, а также назовите дату на которую нужно восстанавливать.

---

Беспокоитесь о безопасности вашего сайта или сервера? Мы проводим полный аудит безопасности, устраняем уязвимости, лечим вирусы на 1С-Битрикс и настраиваем надежную защиту. Свяжитесь с нами, чтобы защитить ваш бизнес.