Алексей Вдовин (Все сообщения пользователя)

сюда напишите URL и IP
вместе посмотрим

ещё нужно понять откуда у вас в spread.php такой код

а что предполагать?
есть онлайн сервис для проверки наличия сайтов в блэк листах РКН
для проверки пропишите в hosts домен и IP - тогда точно поймёте хостер это блокирует или нет

движек нужно обновлять регулярно, если у вас он до этой недели жил без обновлений - это было время "открытых дверей" и скорее всего уже напихали бэкдоров "по самое не хочу" и теперь обновление уже никак не поможет - только чистка в ручном режиме

и судя по тому, что взломали далеко не все сайты на движке Битрикс (тьфу тьфу тьфу у моих клиентов полёт нормальный) причина не в какой то новой уявзимости движка

к сожалению если сайт уже ломали, то 99% напихали бэкдоров которые придётся вычищать практически вручную

Кому интересны "кишки" шелла, а так же сингатуры для его поиска, забираем:
https://www.polivalka.su/manuals/cas-shell.php.txt

всё верно - ищите уязвимости с помощью которых залили шел
попробуйте начать с даты создания файла, посмотрите по этому времени логи - POST запросы
прогоните антивирусом, поищите по признакам (выше в ветке выкладывали)
если движек Битрикс - обновите до актуальной версии
так же не помешает система контроля версий и какой нибудь автоматический контроль изменений в файлах

Ps
я ещё в 16м году для своих нужд сваял скрипт контроля файловых изменений на сервере  - до сих пор работает (по крону ночью - утром отчёт на мыло)
смотрю в свете последних событий скрипт довольно актуален

ну смысл я думаю Вы поняли - шел он и в Африке шелл
фактически полный доступ к сайту (сайтам)

какой запрос ссылку на шелл находит?
получается, что этот шелл Яндекс проиндексировал - значит на него какая то ссылка указывала

угу ... ограничено только правами пользователя под которым работает веб демон на данном сервере и не дай бог это расширенные права

хотя и обычных уже достаточно чтоб сайт наглухо стереть, да и сервак положить думаю тоже

Вы я смотрю вообще отчаянный человек
я пока с помощью Вашего же шелла его у Вас переименовал, от греха подальше  (в какой файл тут писать не буду, а то не все такие добрые как я)

это небольшая демонстрация того, что можно сделать

не понял - что это значит "в поиске C.A.S@shell выдает запрос" ?
т.е. любой человек может провалиться к Вам в такое терминальное окно и выполнить шелл команду?

 временно убираем /bitrix/modules/security/ из /modules/

заходим в админку, перенастраиваем домен (в главном модуле и настройках сайтов)

в мускуле скидывааем опцию
UPD ATE `b_option` SE T `VALUE` = 'planetaexcel.loc' WHERE `b_option`.`MODULE_ID` = 'security' AND `b_option`.`NAME` = 'restriction_hosts_hosts';

либо в php командной строке
use Bitrix\Main\Config\Option;
Option::set("security", "restriction_hosts_hosts", "НОВЫЙ ДОМЕН");

скидываем весь кеш!

после чего возвращаем security на место

смотрю уже до фаервола добрались - молодцы

тогда уж рекомендую и fail2ban воткнуть ... брутфорсы пр ssh и ftp тоже до добра не доведут

извиняюсь, упустил эту информацию из виду
тогда нужно держать ухо в остро!
большая вероятность, что бэкдор куда нить подселили  

похоже никаких взломов и не было

сделайте бэкап и "снимок" файлов сайта - не помешает

с правами администратора магазина?

для начала просто логи веб сервера поизучайте - post запросы
старайтесь по времени угадать с временем создания ботов
это уже даст пищу для анализа

я не про управление сайтом - расширенное логгирование к подозрительным скриптам приматывал вручную

логи надо смотреть на уровне веб-сервера (nginx, httpd)  

По дате создания аккаунтов можно логи и сразу глянуть - может чего подозрительное в глаза бросится ...
Ещё думаю не помешает и расширенное логирование (с сохранением тела post запроса) - выше код выкладывал.

PS ещё посмотрите агентов - может там зараза сидит

Да, скорее всего где-то прячется.

Найти код и вычистить.

Советы по поиску смотрите в теме.

Такое поведение ещё никто не описывал, готовых советов где именно поискать в Вашем случае нет - нужно анализировать, искать.

о какой именно уязвимости речь (зараженный файл)?  

нет, я /bitrix/ из гита убираю на всех проектах - уж больно тяжелая
по Вашему вопросу - ещё добавьте
bitrix/backup
bitrix/stack_cache

Денис, льют на обновлённый движек?

да Вы тут всем глаза открыли

Алексей, прям от души повеселили

в том то и прикол, что решение существует наверное с того же самого момента когда возник этот вопрос
и оно сразу было фактически в коде ядра

но по факту в текущей актуальной версии его так и нет