Лечение сайтов на Битрикс и важность своевременных обновлений
К нам пришли сразу несколько клиентов с похожим набором проблем примерно в одно и то же время. Сайт взломали, в результате чего у кого-то появлялся баннер с неправомерным содержанием, что вело или к закрытию сайта хостером, или к его блокировке со стороны государственных органов, у кого-то переставала работать мобильная версия; у кого-то баннера не было, но сайт и даже доступ к нему были закрыты. Увидев тенденцию, мы проанализировали симптомы и пришли к выводу, что во всех случаях причиной подобных неприятностей были устаревшие версии CMS 1C-Битрикс и языка PHP. Хотя клиенты получали уведомления о необходимости обновиться, в силу разных причин эти уведомления игнорировались, в результате чего переставали приходить обновления по безопасности — просто из-за того, что вендор их пишет только для актуальной версии PHP.
Суть проблемы
Сайты на Битрикс регулярно подвергаются атакам, а в самом Битриксе регулярно обнаруживаются и закрываются уязвимости. Это нормально: система большая и сложная, постоянно развивается, в ней неизбежно будут выявляться какие-то ошибки. Однако прямо сейчас существуют дополнительные риски атак именно на Битрикс, как широко распространенную в РФ платформу.
На это влияет текущая ситуация:
- рост популярности Битрикса у российского бизнеса из-за ухода западных вендоров и импортозамещения;
- резко возросшая активность «политических» хакеров, нацеленная на российский сегмент Интернета. Поскольку в РФ Битрикс занимает доминирующие позиции, а большинство его пользователей — российские компании, очевидно, что именно он становится главной мишенью;
- активное развитие самого Битрикса, вызванное его выросшей популярностью и востребованностью, особенно в сегменте крупного бизнеса, где раньше решения от 1С встречались сравнительно редко. Постоянная разработка нового функционала очевидно ведет к возрастающим рискам наличия уязвимостей в нем.
Битрикс — одно из самых удобных и популярных в РФ решений «из коробки», поэтому атаки именно на него неизбежны. Эти атаки носят веерный характер, злоумышленники в автоматическом режиме ищут системы с открытыми уязвимости и заражают их, вне зависимости от конкретного владельца сайта и размеров его бизнеса. В то время, как большие компании, как правило, имеют собственные подразделения информационной безопасности, способные эти атаки нейтрализовать, для компаний поменьше единственный способ защиты от таких веерных атак — регулярные обновления и контроль за безопасностью системы.
Проект
Знакомство с клиентом
Зачастую все уведомления и предупреждения о возможных уязвимостях полностью игнорируются пользователями. Основных причин две: экономия (зачем обновлять лицензию, если все и так работает?) и потенциальный риск потери работоспособности системы из-за обновления (например, синхронизации с учетной системой 1С). По статистике, только 1 из 10 владельцев сайтов на Битриксе регулярно устанавливает обновления. Особенно поверхностно к безопасности относятся пользователи, уже много лет пользующиеся системой и до недавнего времени не сталкивавшиеся с проблемами.
Как следствие, первый вопрос таких клиентов — дежурный и крайне тревожный «Вы вирусы лечите?» В ходе беседы выясняется, что в компании не следят за актуальностью версии системы, обновления не ставили уже несколько лет, потому что «и так работает». И анамнез заболевания всегда похож: сайт внезапно стал недоступен, поддержка хостера ругается, с корпоративных имейлов сыплется спам, а простой бьет по кошельку владельца.
Лечение
В подобных случаях в системе почти наверняка развелся полноценный зоопарк бэкдоров, троянов и прочих неприятных вещей, которые часто не спешат себя проявлять, а тихо ждут активации извне с помощью уже скомпрометированного доступа. Поэтому, прежде чем заниматься обновлением, надо избавиться от того, чем система уже заражена.
Стоит заметить, что в подобных ситуациях мы часто сталкиваемся с недоверием со стороны клиента. Связано это с тем, что лечиться надо срочно, нам для этого нужны все доступы к сайту, а выдавать их боязно («ну вам же только этот баннер убрать, зачем вам админские права?»). Тем более что из-за экстренности этого этапа работ обычно делается счет-договор, а уже полноценное соглашение о поддержке заключается после того, как доступ к сайту восстановлен.
В нашем штате более 45 специалистов имеют сертификат 1С:Битрикс-разработчика, у них большой опыт решения подобных проблем, и есть готовый план действий: сперва лечение, потом обновление PHP до версии 8.1, потом обновление ядра Битрикса. Регламент работ обычно такой:
- Выявление и подтверждение проблем из списка рекомендаций по устранению уязвимостей в CMS 1C-Битрикс от ЦМУ ССОП;
- Выявление и подтверждение уязвимости в рамках анализа безопасности сайта по нашим внутренним регламентам;
- Выявление и подтверждение уязвимости, которая стала причиной проблемы, инициировавшей обращение;
- Составление рекомендаций по соблюдению мер безопасности после проведенных работ по устранению выявленных уязвимостей.
По мере выявления и устранения уязвимостей мы составляем документ, где фиксируем все проведенные работы и оставляем рекомендации по дальнейшим мерам по предотвращению заражения.
На подобные работы не может быть фиксированного ценника, стоимость формируется исходя из фактически затраченного времени на полное восстановление работоспособности сайта. Медианное значение — порядка 40 часов. Мы не просим предоплату, счет выставляется по факту выполненной и проверенной клиентом работы.
Обновление
Как только наши специалисты нейтрализовали угрозы и привели сайт в работоспособное состояние, важно объяснить клиенту, что это только первая часть работы, и что для предотвращения повторения инцидента необходимо постоянно отслеживать состояние системы и своевременно реагировать на тревожные признаки.
К этому моменту у заказчика уже есть понимание того, что регулярные обновления — это не маркетинговая уловка, а необходимое условие бесперебойной работы бизнеса. Наша команда поддержки проектов заключает рамочный договор, который гарантирует определенный уровень обслуживания и скорость реакции на инциденты. Первая же задача в рамках поддержки — полное закрытие проблемы с обновлением CMS; как правило, на нее уходит от 80 до 100 часов.
Заключение
Уязвимости — неизбежный фактор риска для любой сколько-нибудь серьезной компьютерной системы, включая Битрикс. Не стоит пытаться полностью от них отгородиться — это возможно только в закрытом от внешнего мира контуре, который будет неспособен решать задачи бизнеса. Собственные разработки могут быть безопаснее коробочных решений — не потому, что в них нет дыр, а потому что никто не будет их искать, — но они поднимают совокупную стоимость владения до уровня нерентабельности. Таким образом, единственный разумный подход к обеспечению безопасности своего сайта — цифровая бизнес-гигиена, следование рекомендациям вендора по своевременным обновлениям, регулярные чек-апы на предмет наличия все-таки проникших зловредов.
Если у бизнеса не хватает компетенций для обеспечения таких работ, стоит найти подрядчика, который, как правило, сможет закрыть и другие технические задачи на проекте. Такие вложения обязательно окупятся, особенно в нынешнее турбулентное время. Если же беда все равно случилась — важно не паниковать и не пытаться самостоятельно разрешить ситуацию. Скорее всего, такие попытки приведут только к потере времени, а значит, и прибыли: лучше сразу обратиться к специалистам.