"ещё есть некий шелл, запущенный скрипт, который работает автономно от Апач. Удалили его командой в SSH killall -9 -u $(whoami) или запасной вариант killall -u $(whoami) (лучше первый он убивает процессы лучше). Посмотреть запущенные процессы можно командой ps aux Процессы были сформированы запросами к сайту и остались висеть на площадке, даже когда файл был удален. Возможно вредоносные скрипты запускают процессы при помощи функции php exec () и добавляют к команде запуска символ "&" (Символ & в конце команды переводит процесс в фоновый режим)."
После этого восстановили сайты заново. Один был на обновлении - обновили Битрикс и Интек модуль ядро до последней версии (по рекомендации поддержки Интек). Для старого сайта - Интек выдал свежий файл Handler.php по пути: /bitrix/modules/intec.core/classes/handling/Handler.php , в нем содержатся правки ядра, которые закрывают уязвимости в обновлении, такой вариант нам в теории позволит ничего не обновлять, и закрыть уязвимости.
Два дня - пока полёт нормальный. Включили логирование, следим если что-то будет. Плюс у нас есть собственный скриптик, который раз в сутки анализирует все изменения в файлах сайтов и присылает отчёты. Админки также были закрыты по IP, но это кстати не помогло.
По логам заметили один POST запрос,которым удалось кому-то загрузить в /upload/main/*** кривой файл txt который даже как php не запускается, явно битый и обрывается. Но так как в папке upload есть htaccess который не позволяет запускать скрипты, то этот взлом не пройдёт в теории.
