Сравнительно недавно (не более года), на всех сайтах с БУС, которые я мониторю, наблюдаются попытки подбора пароля к админке. В Журнале событий с интервалом в 1-2 минуты появляются события "Ошибки входа" [USER_LOGIN] по URL-у /bitrix/admin/index.php?login=yes Происходит перебор пользователей с логинами admin, support, content, bitrix, <ваш домен> и т.п. Заходы происходят с конечного количества IP адресов.
Рекомендую обратить на это внимание. Полагаю, что подобное проявляется не только у меня одного.
Что делать.
а) если для вас это — новость, проверьте свои сайты (Настройки > Инструменты > Журнал событий, фильтр по [USER_LOGIN] )
б) не используйте аккаунты со "стандартными" именами: admin, support, content, bitrix, tester, manager, <ваш домен>. Если у вас есть подобные аккаунты, срочно переименуйте их во что-то менее предсказуемое.
в) заблокируйте доступ к админке (или всему сайту) по IP (список ниже). Сделать это можно через Проактивную защиту > Стоп-лист или отредактировав .htaccess (-1-, -2-)
г) если это возможно, используйте "Ограничение доступа к административной части".
Список IP, с которых работает бот, подбирающий пароли:
Список злодеев так же бесполезен, как и обновление темы. Для брутфорса используются не свои машины, а прокси и заражённые машины. Т.е. блочите на самом деле вы другие сервера, кофеварки и самых обычных юзеров (которые не знают, что у них какая-то дрянь живёт на машине). Если бы вы почитали ту тему, то заметили, что там предлагается даже целый сервис (в комментариях), который агрегирует данные со многих сайтов о подобных атаках и блочит злодеев.
Группы на сайте создаются не только сотрудниками «1С-Битрикс», но и партнерами компании. Поэтому мнения участников групп могут не совпадать с позицией компании «1С-Битрикс».