Речь идёт о ситуациях которые массово имеют место быть в середине октября 2022 года. Если на своём сайте на CMS 1c-Bitrix Вы видите вместо сайта сообщение о ошибке Parse error: syntax error, unexpected 'src' (T_STRING) далее полный путь к файлу в конце которого адрес bitrix/modules/main/include/prolog.php on line 14 или 15 и появиться при заражении или белый экран и сайт не открывается, предположительно Ваш сайт взломали используя уязвимость описанную ещё весной 2022 года. Для того чтобы Ваш сайт снова заработал Вам возможно достаточно восстановить исходный файл prolog.php который находится в директории указанной в ошибке. Если у Вас нет исходного файла напишите Ваш E-mail в комментарии к данной статье и я Вам его вышлю. Если не возражаете я так же понаблюдал бы за Вашим сайтом, поскольку сам сейчас занимаюсь поиском уязвимости через которую взламывают сайты, слежение за несколькими сайтами возможно поможет найти её быстрее, поэтому я и предлагаю Вам обратиться к мне за нужным файлом используя комментирование, а не просто выкладываю исходную версию файла, чтобы можно было продолжить общение по данной ситуации.
Ошибка в файле связана с тем что злоумышленник неверно написал код при изменении файла в результате чего сайт перестал работать, вместо того чтобы начать перекачивать трафик(уводить посетителей) на сайты злоумышленника. Возможно для SEO то что Ваш сайт перестал работать лучше чем если бы атака прошла успешно и Ваши посетители начали бы попадать на сайты на которые их перенаправил бы злоумышленник.
Разослал владельцам сайтов которые перестали работать письмо следующего содержания
Здравствуйте!
Я программист, на прошлой неделе(вторая неделя октября 2022 года) в компании в которой я работаю взломали сайт. По мере анализа выяснилось что причиной является уязвимость найденная в одном стандартных модулей 1c-bitrix весной этого года, а возможно её модификация. Сайт не работает поскольку проводилась атака которая по задумке злоумышленника должна была изменить файл prolog.php после чего сайт начал бы переадресовывать пользователей на сайт злоумышленника, этого не произошло поскольку злоумышленник ошибся в коде и сайты на которые осуществлялась атака перестали работать(поскольку они не могут работать с подобной ошибкой в таком файле). Возможно этот вариант для сайта(при котором он не работает) даже лучше для SEO сайта, чем если бы поисковые системы увидели что посетители с сайта уходят на различные вредные сайты в том числе мошеннические.
Для того чтобы Ваш сайт снова начал работать возможно Вам достаточно разместить на хостинге Вашего сайта bitrix/modules/main/include/prolog.php файл который я прикрепил в вложение(это исходная версия файла). Предварительно скопируйте куда нибудь повреждённую версию указанного файла. Если эти действия не помогут, возможно у Вас какая то иная версия файла и тогда как вариант Вы можете прислать его мне в ответном письме, возможно я смогу его исправить. Откуда я знаю что Ваш сайт взломан: в процессе анализа сайта на уязвимости после взлома было выявлено что взломанные сайты участвуют в цепочке переадресаций(после того как на вирусный сценарий начинает забирать пользователей с атакованного сайта на сторонние ресурсы, пользователи не сразу попадают на сайт злоумышленника, с сначала проходят по цепочке переадресаций через взломанные сайты), после того как данный механизм был выявлен в файлы сайта, через который осуществлялась переадресации, был добавлен специальный логер, который собирает информацию о событиях, которые происходят на сайте, так накопилась информация о других сайтах, которые так же взломаны, владельцам которых я рассылаю письма. Кстати повреждение файла prolog.php в результате которого страницы перестали открываться не повлияли на работу механизма переадресаций, о которой я написал в текущем абзаце, в случаи Вашего сайта вот пример реализации такой переадресации на сторонний сайт(в данном случаи мой): https://домен-сайта/bitrix/redirect.php?goto=https://blog.ivru.net/?id=294
Мои цели: во первых готов Вам бесплатно помочь починить сайт. Во-вторых факт того что сайт после совершения Вами действий по замене файла prolog.php сайт заработает, вовсе не означает что устранена уязвимость через которую сайт был взломан. Сейчас мне понятно примерно через какие файлы мог быть осуществлён взлом, при этом все детали взлома ещё не установлены. Для того чтобы понять механизм на потенциально подозрительные файлы устанавливаются специальные логеры, которые по задумке должны предоставить важную информацию при повторном факте взлома, при этом не факт что он произойдёт на нашем сайте вновь или возможно это произойдёт через значительное время. Поэтому установка логеров на большее число сайта возможно поможет скорее понять как именно осуществляется атака если она будет снова произведена злоумышленником. Если Вы готовы в этом вопросе предоставить Ваш сайт для установки указанных логеров пожалуйста скачайте файл https://blog.ivru.net/nikolaevevge.zip, это архив, его необходимо распаковать в результате появится файл nikolaevevge.php, разместите этот файл в корне Вашего сайта на хостинге. Это файл редактора кода, я его автор. С помощью его возможно получить доступ к файловой системе Вашего сайта а так же исправлению файлов. Так же в ответном письме отпишитесь какие действия я могу совершать с Вашим сайтом. По факту обнаружения уязвимости готов бесплатно выполнить действия по защите Вашего сайта от угрозы. А в перспективе если Вам потребуется выполнить какие то работы по сайту, сможете обратиться к мне на платной/бесплатной основе(в зависимости от сложности задачи) и возможно я помогу Вам или подберу исполнителя(поскольку сам я занимаюсь back-end программированием, вопросы по изменению дизайна сайта и вёрстке страниц это пока что не к мне).
Условие бесплатной помощи включает себя установку в нижней части Вашего сайта ссылки с текстом "Защита сайтов на битрикс от вирусов", которая будет вести на мой сайт с соответствующей статьей о этом(это не относится к ситуации если Вы просто воспользуетесь файлом prolog.php для восстановления работы Вашего сайта и не будите принимать участие в отслеживании уязвимости и иных повреждённых сайтов). Данная ссылка требуется, чтобы статья о атаке на сайты на CMS Битрикс моего сайта выше выходила в результатах поиска Яндекс и Google, таким образом большее количество пользователей смогут найти информацию о том как восстановить работу своего сайта после атаки, а так же принять участие в отслеживании новых атак и информации о том как именно они проводятся. Кроме того я так же интересуюсь вопросами SEO-продвижения и для меня это дополнительный опыт выведения сайта в ТОП поисковой системы по соответствующим запросам.
В случаи наличия сомнений предоставления доступа к сайту, возможно имеет смысл посмотреть видео запись моего собеседования весной 2021 вода с руководителем отдела разработки 1с-Битрикс https://www.youtube.com/watch?v=B2-PufSC6T4.
Возможное содержимое файла putin_huilo.php который может появиться при заражении
Содержимое этого файла я нашёл на одном из сайтов в Интернет, когда искал информацию по ситуации. В случаи с сайтом компании в которой я работаю с которого начался разбор ситуации этого файла не было. При этом, как выше я уже писал поскольку сайт участвовал в цепочке переадресаций, попробовал установить наличие этого файла на сайтах из списка и предположительно на некоторых из них файл putin_huilo.php действительно имеется, поскольку при обращении по uri /bitrix/tools/putin_huilo.php в браузере появляется ошибка о невозможности установить соединение, которой может не быть при попытке набрать аналогичный по структуре адрес на файл который должен отсутствовать, например адрес /bitrix/tools/putin_huilo2.php. При этом даже если файл на заражённый сайтах есть, предположительно воспользоваться им может только сам злоумышленник, на основе файла из листинга выше я сформировал curl запрос в результате которого на заражённых сайтах по адресу /bitrix/tools/putin_huilo.php должно было отображаться сообщение [superText], то есть финальная функция eval указанного файла в конечном счёте после всех преобразований должна была принять переменную $d равную "echo \"[superTest]\";", вместо этого всё так же продолжала выводиться ошибка, предположительно причиной этого является иное название COOKIE параметра, то есть на других сайтах возможно он имеет значение не 6a9d4c231d03dbc5454b74fd1c5d15c1, а какое либо другое, возможно данное значение является результатом вычисления какого либо хеш который как вариант может быть вычислен с использованием адреса домена заражённого сайта, если это так то алгоритм формирования знает злоумышленник и другие программисты зная что на каком либо сайте есть файл putin_huilo.php им тем не менее воспользоваться не смогут.