Форум

в init.php
прописал
AddEventHandler("main", "OnEndBufferContent", "RemoveMaliciousCode");

// Функция для удаления вредоносного кода
function RemoveMaliciousCode(&$content) {
   // Замените 'вредоносный_код' на фактический код или часть его, который вы хотите удалить
   $maliciousCode = "'https://www.googletagmanager.com/gtm.js?id=',";
   // Поиск и удаление вредоносного кода
   $content = str_replace($maliciousCode, "", $content);
}

Капча перестала появляться в консоли браузера появилась ошибка о том что не может она. можно дальше копать. Временная заплатка пока не найдем источник

Устал бороться. Битрикс – решето, сплошные разочарования! Стоит не дешево, а проблем получаешь вагон.

Одну проблему закроешь, вторая следом возникает. Битрикс + Аспро.NEXT – чего только не было за историю работы сайта.

Начиная от редиректов ?goto=, заканчивая шелами, и появлением новых директорий со скриптами в корне сайта.  Обновления особо не помогают. Дверь закроешь, они в окно.

Сайт похоже в какой-то спам базе – устал бороться с ботами. Но очередной взлом добил окончательно!

Периодически смотрю логи, и вот опять – вижу огромное количество - обращений, GET  запросов типа:

При переходе по ссылке на моем сайте, с моим доменным именем открываются страницы другого сайта, каталог препаратов для импотентов: виагрой и прочей фигней.

Началось все с этого:

Обнаружил новую директорию с /lib/ - в корне сайта, с большим количеством PHP -  файлов, страниц данного левого сайта.

Как подсадили, не догадываюсь. Убрал.

Понимаю, что просто убрать мало, так как сама проблема окончательно не решена, дыра не закрыта.

Прошу совета! Как решить проблему окончательно?  Куда смотреть?

PS:  Ещё нашел в файле index.php в корне, сразу после открывающей директивы <? вставку кода:
Причем сдвинута в  право с большим количеством пробелов, что бы при открытии файла была не заметна.

PS: Ещё в файл robots.txt добавили строку:

* сделать бэкап текущего состояния сайта,  скопировать логи для дальнейшего изучения

* удалить сайт по умолчанию в /home/bitrix/www, если он не нужен. Проверить отсутствие установочных скриптов bitrixsetup.php и restore.php

* проверить, нет ли каких-то служб в systemctl или задач в crontab, которые вы не создавали, удалить лишнее и подозрительное

* сменить все пароли - ssh, ftp, все админские учетные записи на сайте

* воспользоваться штатными средствами Проактивная защита
 начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru

* воспользоваться сторонними средствами ( aibolit и т.п.)

* поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке - конкретный пост не подскажу, давненько было дело - нужно искать. Я по ним много раз находил заразу.

* посмотреть агентов  - чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет -  всё равно будет заново создано)

* так же в памяти не помешает глянуть (или ребутнуть аппача), бывает зараза сидит в памяти и при удалении сама себя сразу же восстанавливает

* добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)

* поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)

так по горячим следам гораздо проще анализировать логи (например за последние сутки)

* по логам вычислить заразу и прибить

* после чистки - режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)

* регулярное резервное копирование (желательно не сюда же - в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)


как то так ...

P.S.

так же можно обратиться в саппорт Битрикса - есть случаи когда саппорт помогал найти и устранить уязвимость

А в поддержку обращались.
Актуальные обновления и поддержка помогают.
Я обращался в техподдержку, находили проблему, устраняли и давали рекомендации. Уже раньше писал здесь.