Форум

Вот куда эта тварь ломится. Видимо, есть часть сайтов, которые вскрывают через нештатные модули. ESOL так уж точно нужно ликвидировать с сайтов.

Да, ещё бывает какой-нибудь файл сайта после удаления сразу восстанавливается автоматически. Чаще всего это видоизменнённый злодеем index.php в корне сайта.
Если БД работает не через локалхост, то сменить пароль к ней.
Надо перезагрузить PHP - скорее всего там висит процесс, который запускает вредоносный код.
Также надо проверить все агенты в Битриксе и все задания в планировщике задач (как под обычным пользователем, так и под рутом).

Прочитал статьи от разных рода студий касающиеся лечений и предотвращения заражений, и нигде не увидел подобной рекомендации, все рекомендации шаблонные, сводятся к обновлению платформы, но рекомендаций закрыть доступ к системным файлам сайта от хакеров не высказывается ... что это, ограниченность мышления или стремление к наживе на лечении зараженных сайтов? И ладно если бы дело касалось лишь меркантильности "лекарей", так и официалы не дают внятных пояснений почему все потроха сайта непременно должны быть вывалены наружу и доступны хакерам? Как это состояние мышления назвать?!!!

Для работы функционала всё не надо открывать, для обеспечения работоспособности интеграции с внешними сервисами таким файлам, как например /bitrix/admin/user_options.php можно оставить доступ, а остальные файлы зачем в web вываливать? Какая в этом сакральная цель? Хакеров соблазнять? Не баловства ради задался данным вопросом, а после того как закрыл доступ по ip ко всем подкаталогам папки /bitrix, и видя что это работает у меня и возник сей вопрос - почему ни лекари ни разработчики не дают рекомендаций закрыть чувствительные каталоги от злодеев? Или деньги не пахнут и кому то выгодно чтобы сайты заражали? Ниже код для nginx с решением затронутого вопроса, как минимум доступ следует открыть ip сетевого адаптера сервера и ip удаленного компа с которого администрируется сайт