Взломаны сайты в честь дня конституции украины

можно полный путь до start.php
очень похоже на штатный Битриксовский обфускатор для кода где лицензионности касается

Сделал поиск измененных файлов, .settings в корне с таким комментарием, почистил всю какашку, но .htaccess в корне, не дает выставить права на запись, просто на чтение сбрасывает, все файлы wp вычистил, которые судя по консоли даже не менялись

у меня такого мусора нет в этом файле - обратись в саппорт, пусть глянут
(ну и нам ответ перекинь плиз)

Проверьте список процессов, там должен быть php-скрипт (вроде бы lock666.php), который перезаписывает содержимое .htaccess.

ага, убил какашку эту

я на одном проете неделю назад боролся с этой хренью, сделал в php.ini:

disable_functions=eval,exec,passthru,shell_exec,system,proc_open,popen

+ в htaccess

Deny from 77.73.0.0/16

заблочил все великобританский (на сколько понял) айпишники.

на данный момент этот сайт жив. другие, где я не делал disable_functions - ломают, только сегодня руки дойдут до них

Я удалил все файлы сайта и у меня всё равно создавался файл index.php и . htaccess.! Делаю вывод что взлом на уровне хостинга, а Битрикс не причём.

Спасибо. Проверю.

Вот и я попался, но убит файл /bitrix/modules/main/include.php  как быть вообще не знаю

это всё хорошо, но извините, забыл сказать, что бэкапа нету

Лицензия есть, в поддержку уже написал, жду ответа, в очереди 575  

Это всё полумеры, нужно найти источник проблемы.

Мне тут обратились за помощью - vds (правда самопал на ubuntu - тут не понравилось, на bitrix_env настройки лучше в плане безопасности), сайт на сервере один.
Всё что знал посмотрел, и лицензия актива и обновления актуальны, по логам ничего не нашел - ... Через сутки взломали
Процесс в памяти, восстанавливает инъекцию в index.php

Уже тоже думаю эти функции запретить, т.к. других идей пока нет