Волна блокировок доступа к сайтам на Битрикс Национальным координационным центром (НКЦКИ) в 2023 году

За неделю к нам обратились 4 клиента по поводу блокировок их сайтов. Всех объединяет, что сайты не открываются на территории РФ, но при этом доступны через VPN. При ближайшем рассмотрении было выяснено, что серверное оборудование работает корректно и сайты должны работать. 

После обращения в техподдержку хостеров - ответ обычно в духе "На нашей стороне все работает исправно, остальное ваша проблема", но один хостер подсказал, что это похоже на блокировку "Национальным координационным центром по компьютерным инцидентам" (НКЦКИ). Вот его ответ:

Здравствуйте,

Со стороны сервера проблем не выявлено.
Вижу, что проблемы наблюдаются из некоторых регионов:

Ситуация не однозначная, нюанс её в том, что это не технический сбой с нашей стороны, а вероятнее всего работа ТСПУ (Техническое Средство Противодействию Угрозам) у провайдеров РФ, которая контролирует зарубежный трафик и трафик по стране.

Причину подобной блокировки трафика называют: “в целях информационной безопасности РФ”

При этом каких-либо ответственных контактов по работе ТСПУ нет, а похожие случаи есть. Рекомендуем попробовать обратится на incident@cert.gov.ru

В данной ситуации вам не поможет ни смена IP-адреса ни смена провайдера услуг или хостинга
Блокировки Роскомнадзора также не применимы в данном случае.

После письма на адрес электронной почты incident@cert.gov.ru почти сразу пришел такой ответ:

Добрый день!

Национальным координационным центром по компьютерным инцидентам (НКЦКИ) получены сведения о компрометации Вашего информационного ресурса и его использовании злоумышленниками для проведения компьютерных атак, с помощью которых может быть нарушена информационная безопасность критической информационной инфраструктуры Российской Федерации, информационных ресурсов органов государственной власти и органов местного самоуправления, а также иных социально значимых ресурсов.

НКЦКИ в соответствии со статьей 5 Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», пунктом 5.1 Приказа ФСБ России от 24.07.2018 г. № 366 и пунктом 9 Правил централизованного управления сетью связи общего пользования, утвержденных постановлением Правительства Российской Федерации от 12 февраля 2020 года № 127, направлен запрос на блокировку Вашего ресурса.

Ресурс может быть разблокирован НКЦКИ после получения от администратора подтверждения удаления вредоносного программного обеспечения и устранения уязвимостей в соответствии с Инструкцией (во вложении). Просим направить материалы о принятых мерах в соответствии с Инструкцией, а также предоставить контактные данные для дальнейшего взаимодействия на электронную почту"incident@cert.gov.ru".

В случае выявления фактов повторной компрометации Вашего ресурса, а также неполного устранения уязвимостей, Ваш ресурс может быть вновь заблокирован.

Просим сообщить доводилась ли хостер-провайдером до Вас инструкция по устранению выявленной уязвимости? Вы можете обратиться к хостинг-провайдеру за помощью по применению рекомендаций из указанной инструкции к вашему информационному ресурсу.

С уважением,
Команда Национального координационного центра по компьютерным инцидентам
107031, г. Москва, ул. Большая Лубянка, д. 1/3
Email:incident@cert.gov.ru
Сайт:http://cert.gov.ru/
Тел.: +7 (916) 901-07-42

В целом, все стало ясно. Сайты были взломаны, надо устранить вредоносное ПО и устранить уязвимости. Чтобы было более понятно, что делать - НКЦКИ к письму приложили 2 документа:  CyberOK-bitrix_web_1.4.docx и Рекомендации_Bitrix.pdf. После этого сообщить на почту incident@cert.gov.ru о проведенных работах и ждать, решения о разблокировке.

Интересный момент - все сайты были ранее взломаны, но некоторые были уже почищены от вирусов и уже были проведены работы по устранению уязвимостей несколько месяцев назад. И все равно были заблокированы.

Если ваши специалисты не имеют достаточной квалификации для выполнения всех требований НКЦКИ - то вы можете обратиться к нам за спасением сайта от вирусов.