Если вас ломали ранее и вы не сменили ключ подписи данных "signer_default_key" в базе данных, то независимо от того какое у вас ядро, старое или самое последнее, вычищали систему или накатили с нуля, вас могут ломать используя его. Так как система безопасности движка полагается на этот ключ при работе в "тонких местах" и не предполагает наличия этого ключа у взломщика.
В PDF документе "Уязвимости и атаки на CMS Bitrix", есть раздел "Методы атак", а в частности "RCE via PHP Object Injection ( signer_default_key )" где подробно описывается один из возможных вариантов использования этого ключа. Сколько других вариантов ещё существует и используется, предположить невозможно. По логам это отследить будет трудно, так как запросы могут приходить на любой эндпоинт, или через $_COOKIE. Именно поэтому, "signer_default_key" нужно менять в обязательном порядке.