Взломаны сайты в честь дня конституции украины

Ну как вы видите, не поднимается админка. в файле core нет этого кода.

напишите на почту Admin@ssros.ru

А вы  после чистки core.js удалили core.min.js?

Попробуйте удалить его.

ну дак по консоли и раскручивай - бери самые первые ошибки и смотри
у меня тоже там много записей было, но первая именно на core.js - поправил только там и везде заработало

поищи по вхождению

aHR0cHM6Ly9zdG9yZWpzY2RuLnB3L2pxdWVyeXVpLmpz
и
storejscdn

может тот же файл, только в другом месте иньекция

Не требуется.
Значит проблема в другом файле.
Остается поиск.
Ещё модно просканировать бесплатным imunifyav.

В общем не спав 36 часов я все таки нашел в чем проблема.
Все файлы которые указаны в этом посте были без кода сайта. Вместо кодов в них было написано Putin_HUILO и русский корабль-пшел.н - сокращенно.
Причем в каждом из этих файлов было 9999 строк, т.е их заполнили прям столбцами. Размер файлов был около 2-3 мегабайт каждый.
У меня была файловая копия сайта от августа 22г, оттуда я просто заменил все те файлы которые были изменены, постепенно сайт начал оживать.
закрыл на все файлы доступ на уровне сервера,папку tmp вынес за рамки директории сайта. Модуль vote удалил.
Ограничил доступы в файлах
/bitrix/www/bitrix/admin/.htaccess

<Files ~ "^(site_checker)\.php$>deny from all</Files>

/home/bitrix/www/bitrix/tools/.htaccess

<Files ~ "^(html_editor_action|mail_entry|upload)\.php$> deny from all</Files>

/bitrix/www/bitrix/modules/main/include/.htaccess

<Files ~ "^(virtual_file_system)\.php$> deny from all</Files>

/bitrix/www/bitrix/components/bitrix/sender.mail.editor/.htaccess

<Files ~ "^(ajax)\.php$> deny from all</Files>

И еще одно. В почтовых настройках были созданы агенты или задания на спам статистики и прочей ненужной фигни на адрес администратора(заданный по умолчанию) Мне на почту стали сыпаться просто тонны писем о том что пользователь был заблокирован,что идут XSS атаки и DOS и прочая ересь.

По логам нашел обидчика,но может быть это и не он. Инфа просто так, для справки.

IP:37.57.145.71

person: Oleksii V Yaroshenko

address: Prirechnaya 25a

address: Kiev

address: Ukraine

phone: +38 097-437-27-17

nic-hdl: OVY5-RIPE

mnt-by: TRIOLANMNT

created: 2016-08-30T12:25:29Z

Вроде как пока тишина.

Сделал снимок сервака на всякий случай и еще одну файловую копию сайта.

Новостной модуль вырвал отдельно в папку, а то вручную собирать новости как то не айс после восстановления базы данных.

Все участники темы это поняли еще на первых трех страницах. А техподдержка битрикс больше ничего не сделала??? К примеру обновить сайт до "Актуально" версии?

про первые 3 страницы это я утрировал. Я к тому,что это уже обсуждалось в теме. тут всего 11 страниц,все прочитать надо бы)

Как раз у меня два сайта подверглись атаке. Но ничего не смогли сделать кроме доступности, вероятно из-за того, что вебокружение было обновлено.

Сегодня или вчера тоже отвалился один сайт на bitrix env у знакомого
все оч старое, битрикс тоже
вылечилось удалением пары строк в prolog.php и core.js

файлы с правками от 30 июня, бахнуло только на днях.
бд не тронута

Да, гит отличное решение.
Но обычно как раз битриксовый движек исключают из гита, но в данном случае наверное лучше весь сайт (кроме upload и кеша) туда бахнуть.
В принципе можно в исключения всякую статику добавить типа картинок и архивов.