Форум

да, бекдоры не нашлись,


даты скорее всего "злоумышленник" поменял, логи по последним изменениям ничего страшного не показывают,


про "ловилку" хорошая мысль, попробую вникнуть как ее можно применить, спасибо!!!

У меня рабочая лицензия и периодически встраивается https://techmestore.pw/jquery-ui.js - https://code.jquery-uii.com/jquery-ui.js и другие js файлы

Не знаю насколько у Вас тотже вирус, что был связан с уязвимостью vote.

Я по исходникам накопал следующее кому интересно.
Атака была на файл uf.php с определенной структурой В параметрах структуры был определен класс CFileUploader.
Именно он и создавался из строки  а потом проверялся на instanceOf Connector. Да ошибка выводилась. Но был вызван конструктор  CFileUploader
Зачем битрикс делал логику загрузки на конструкторе - ума не приложу. Таким макаром загружалась папка в upload/tmp/ и на событии  
onFileIsStarted прпатчивался агент, который и создавал бэкдур putin_hui...php  Как детально не могу сказать, но мне удалось воспроизвести загрузку файла на потенциально уязвимой машине. Патч битров заключался в использовании функции is_a , которая не создает объект а проверяет его наличие.
По идее если гдето остался аналогичный вариант подгрузки то загрузить нефиг делать, но я надеюсь Ребята из битрикса знают что делают и дырок нигде нет )))). Рефлексия , конечно дело хорошее но мне кажется на публичке разрешать это использовать както не айс.
Мало того в коде проверки проверяется актуальность сессии с помошью функции check_bitrix_sessid() Но эта функция  обходится на раз два с помощью опятьже открытого скрипта tools/composite_data.php Тут инфа по серверу, для чего делать его открытым не знаю. Кстати этот скрпит доступен на всех обновленных машинах.

спасибо, очень познавательно!!!

но у меня немножко другой вирус.... и где искать концы непонятно....