Также в журнале событий обнаружили заходы с событием Успешный вход для админского логина, но в эти часы под этим логином никто не заходил. События были на страницу вида /bitrix/tools/public_session.php?&interval=0&k=12аа5c55fcadgtaf51a86c4022238d11. Как такое может быть?
Евгений Ширяев пишет: Обнаружили, что идет куча попыток подбора пароля http://awesomescreenshot.com/03c29bzz04 И такая долбежка в течение суток. Отрубать в htaccess по IP?
Да, если есть возможность. Или с помощью битрикса. Но вообще лучше сменить ЛОГИН, чтобы у злоумышленника не было возможности подбирать пароль. + поставить ограничение Х попыток авторизации после чего показывать капчу.
Я предпочитаю банить такие Ип на время. Чтобы одумались. Обычно перебор они ведут "не там", так что опасности не представляют. Но если есть возможность следить не начались ли попытки инъекций где-то, где они возможны хотя бы теоретически (не в несуществующих директориях\файлах хотя бы), то стоит задуматься о возможных мерах.
Цитата
Также в журнале событий обнаружили заходы с событием Успешный вход для админского логина, но в эти часы под этим логином никто не заходил. События были на страницу вида /bitrix/tools/public_session.php?&interval=0&k=12аа5c55fcadgtaf51a86c4022238d11. Как такое может быть?
Могли перехватить сессию или украсть куки. Рекомендую проверить машины всех пользователей на вирусы и сменить пароли. Ну и раз злоумышленник уже мог попасть в админку, то стоит и сайт на вредоносный код проверить. Могут быть закладки.
Вообще обращайтесь в личку - занимаюсь такими вопросами в том числе на коммерческих началах (есть услуга "администрирование безпасности", условно называемая) - разбираюсь с инцидентами и даю рекомендации что где подкрутить.