Как удалить вирусы с сайта на Битрикс через SSH
Сайты на «1С-Битрикс» часто становятся целью хакеров: где-то не обновили модуль, где-то оставили слабый пароль. В результате в коде появляются вирусы — чужие скрипты, которые могут воровать данные, рассылать спам или ломать работу сайта.
Если у вас есть SSH-доступ к серверу, вы можете самостоятельно проверить файлы и удалить вредоносный код.
Взлом сайта на «1С-Битрикс» — проблема, с которой сталкиваются многие администраторы. Хакеры загружают на сервер вредоносные скрипты, которые:
- воруют данные пользователей,
- отправляют спам,
- портят SEO-репутацию (Google может пометить сайт как «опасный»).
Хорошая новость: если у вас есть SSH-доступ, вирус можно обнаружить и удалить своими руками.
Шаг 1. Сделайте резервную копию
Перед очисткой обязательно сохраните текущую версию сайта:
# архив файлов
tar -czf backup-site.tar.gz /home/bitrix/www
# дамп базы
mysqldump -u USER -p DBNAME > backup-db.sql
Так вы сможете откатиться, если что-то пойдёт не так.
Шаг 2. Найдите подозрительные файлы
По дате изменения
Хакеры обычно меняют или добавляют файлы недавно. Проверим:
cd /home/bitrix/www
find . -type f -mtime -30 \
! -iname "*.png" \
! -iname "*.jpg" \
! -iname "*.jpeg" \
! -iname "*.webp" \
-printf '%TY-%Tm-%Td %TH:%TM %p\n' | sortПо содержимому
Чаще всего вредонос прячется за функциями eval, base64_decode, gzinflate:
grep -RIn --exclude-dir={.git,upload} -E \
"eval\s*\(|base64_decode\s*\(|gzinflate\s*\(|shell_exec\s*\(|system\s*\(|passthru\s*\(" .В папке upload
Здесь не должно быть PHP-файлов. Если есть — почти наверняка вирус:
find ./upload -type f -iname "*.php" -lsШаг 3. Удалите заражённые файлы
Удаление выполняется так:
rm ./upload/some_shell.phpЕсли заражена только часть кода, откройте файл и уберите вредонос:
nano ./bitrix/php_interface/init.phpШаг 4. Очистите кэш
Чтобы сайт не тянул заражённые данные из кэша, очистите его:
rm -rf ./bitrix/cache/* \
./bitrix/managed_cache/* \
./bitrix/stack_cache/* \
./bitrix/tmp/* \
./bitrix/html_pages/* \
./upload/tmp/*Шаг 5. Проверьте логи и cron
Логи сервера
Смотрим подозрительные запросы и ошибки:
tail -n 200 /var/log/nginx/access.log
tail -n 200 /var/log/nginx/error.logCron-задания
Иногда злоумышленники добавляют скрытые задачи:
crontab -l
sudo crontab -l
ls -la /etc/cron.*Шаг 6. Усильте защиту
После удаления вирусов:
- поменяйте все пароли (SSH, FTP, база, админка Битрикс);
- обновите ядро и модули «1С-Битрикс»;
- настройте права (папки 755, файлы 644);
- отключите SSH-логин по паролю, оставьте только ключи;
- заведите мониторинг целостности (например, список md5sum файлов или git).
Чек-лист: быстрое удаление вируса с сайта Битрикс через SSH
- Сделать бэкап файлов и базы
- Найти изменённые файлы (find -mtime)
- Проверить код на опасные функции (grep eval|base64)
- Удалить или почистить заражённые скрипты
- Очистить кэш Битрикс
- Проверить логи и cron
- Сменить пароли и обновить модули