Статьи

Удаление скрытого майнера с сайта на Битрикс (hostingcloud, webchain.network)

При первом входе нового посетителя может появляется баннер «hostingcloud».
При переходе на сайт начинается нагрузка на ПК, в диспетчере задач это будет очень хорошо заметно.
При открытии инструментов типа firebug или любый для исследования кода скрипт сразу же прячется (в коде одного из файлов это описано).

Проверить откуда ноги растут можно просто. Создайте пустой шаблон для сайта и открыть его в режиме просмотра кода, там и будет видно JS код который запускает процедуру майнинга.

Для лечения нужно удалить следующие файлы:

• /bitrix/gadgets/bitrix/weather/lang/ru/exec/include.php
• /bitrix/modules/main/include.php
• /bitrix/tools/auth_app.php
• /bitrix/tools/check_file.php
• /bitrix/tools/check_files.php
• /bitrix/tools/check_files_app.php

Если на сайте имеется файл /restore.php в корне сайта, удалите его.

Так же рекомендуюется пробежаться по папкам и поискать файлы по имени похожие на file_upload и проверить их содержимое на наличие возможности загрузки файлов на сайт.
Обычно на такие файлы имеют атрибут для записи.

Пробежаться (поменять) по атрибутам всех папок 755 и файлы 644

Если на вашем аккаунте в вашей пользовательской папке несколько сайтов, прицепом проверяйте и их т.к. большая вероятность что они тоже заражены.

Помимо рекомендуется установить https://marketplace.1c-bitrix.ru/bitrix.xscan модуль поиска троянов.