Что делать, если сайт на Битрикс взломали

Взлом — стресс, но действовать надо холодно и по плану. От того, насколько быстро и правильно отреагируете, зависит — потеряете ли вы данные клиентов и позиции в поиске.

Признаки взлома

• Браузер показывает «Сайт может быть опасен» (Google Safe Browsing).
• Резкая просадка трафика и позиций в поиске.
• Жалобы клиентов на странные перенаправления.
• Незнакомые админ-аккаунты в Битриксе.
• Подозрительные файлы в /bitrix/, /upload/, /local/.
• Письмо от хостера о подозрительной активности.

Шаг 1: изоляция (первый час)

• Закрыть сайт техработами через .htaccess или nginx (только админ-IP).
• Сменить пароли всех админов в Битриксе.
• Сменить пароли FTP/SSH/MySQL.
• Сменить пароли почты и хостинг-панели.
• Сделать полную копию текущего состояния (для расследования).

Шаг 2: расследование

• Проверить access.log: подозрительные POST-запросы к админке.
• Найти изменённые файлы за последние 30 дней (find -mtime).
• Проверить cron на лишние задачи.
• Сканировать на shell-скрипты (eval, base64_decode, system).
• Запустить «Сканер безопасности» Битрикса (модуль Proactive).

Шаг 3: восстановление

• Откатить из чистого бэкапа (за день-два до взлома).
• Если бэкапа нет — переустановить Битрикс начисто и перенести только проверенные данные.
• Обновить ядро и модули до актуальных версий.
• Закрыть уязвимости (xmlrpc, директории на 777, старые модули).
• Сменить все ключи API и токены интеграций.

Шаг 4: возврат в строй

• Подать запрос на пересмотр в Google Search Console.
• Уведомить клиентов, если утекли персональные данные (152-ФЗ).
• Настроить мониторинг файловой системы (Tripwire, AIDE).
• Настроить WAF (Cloudflare, ModSecurity).

Сроки и стоимость

Итог

Лучшая защита от взлома — регулярные бэкапы, обновления и проактивная защита. Если уже взломали — действуйте по плану, не паникуйте, не удаляйте улики до расследования.