Virus en /ajax/error_log_logic.php: Cómo los hackers infectan los sitios de Bitrix y crean puertas traseras

Solicitar un servicio
1 min.

Cómo detectamos el virus y detuvimos la infección

Recientemente nos encontramos con una infección masiva de varios sitios en 1C-Bitrix. Después de tratar los virus estándar (por ejemplo, a través de vulnerabilidades en Aspro), las puertas traseras continuaron apareciendo: se creaban nuevos archivos en la carpeta /ajax/ todos los días:

  • 1d861c1d0a00.php

  • 61707a3351d8.php

  • assets/... (puertas traseras ocultas)

¿Cómo encontramos la fuente?

  1. Verifiqué las fechas de creación de los archivos → las comparé con los registros.

  2. Descubrimos que todos los ataques se realizaban a través de /ajax/error_log_logic.php .

  3. Después de su eliminación, dejaron de aparecer nuevas puertas traseras.

Conclusión: El virus estaba escondido en error_log_logic.php y lo usaba para descargar scripts maliciosos.

¿Cómo funcionó el virus?

1. Punto de entrada: error_log_logic.php

El archivo parecía inofensivo, pero contenía código vulnerable que permitía:

  • Escribir archivos PHP ( file_put_contents ).

  • Ejecutar código arbitrario ( eval , base64_decode ).

Ejemplo de una solicitud maliciosa de los registros: 

 OBTENER /ajax/error_log_logic.php?data=

 2. Creación de puertas traseras



Los piratas informáticos cargaron archivos PHP cifrados que:



    

  • 

    
Dio acceso al servidor.

    

    • 

  • 

    
Permitió la descarga de nuevos virus.

    

    • 

  • 

    
Propagación a sitios vecinos.

    

    • 



 3. Mayor infección



Después de implementar la primera puerta trasera:



    

  • 

    
El virus escaneó otros sitios en el hosting.

    

    • 

  • 

    
Los infectó a través de las mismas vulnerabilidades.

    

    • 



 ¿Cómo detectar un virus así?


 1. Verifique la carpeta /ajax/



Buscar archivos sospechosos:



 ls -la /ajax/
find /ajax/ -name "*.php" -mtime -7 # archivos creados en la última semana


 2. Analizar registros


 grep "error_log_logic.php" /var/log/nginx/access.log
grep "archivo_poner_contenido" /var/log/nginx/error.log


 3. Verifique el contenido de los archivos sospechosos



Si encontró 61707a3351d8.php o similar:



 gato /ajax/61707a3351d8.php | grep "eval"


 ¿Cómo proteger un sitio web en Bitrix?


 1. Eliminar archivos maliciosos


 rm -f /ajax/error_log_logic.php /ajax/1d861c1d0a00.php /ajax/61707a3351d8.php


 2. Actualizar Bitrix y los módulos



¡Las versiones antiguas son vulnerables!



 3. Configurar derechos de acceso


 4. Instalar protección


 ¿Necesitar ayuda?



Si su sitio 1C-Bitrix ha sido atacado y no puede encontrar la fuente de la infección, ¡contáctenos!




Realizamos:



    

  • 

    
Auditoría de seguridad.

    

    • 

  • 

    
Busque y elimine puertas traseras.

    

    • 

  • 

    
Protección contra futuros ataques.

    

    • 



 Conclusión



El virus vía error_log_logic.php es uno de los más sigilosos. Los antivirus habituales no lo detectan, pero se puede encontrar a través de registros y análisis manuales.




¡Lo principal es eliminar a tiempo el archivo infectado y cerrar las vulnerabilidades!




Comparte este artículo: ¡quizás salve el sitio de alguien!

7 Abril 2025 (Boudybuilder) Виталий Фантич

Back to the list

This site is multilingual
thanks to the Multilingual module
file_download Download Module Market
file_download Download Module Market