Форум

Закрыли. По сути был взлом, НО была старая версия php и не обновлен Битрикс довольно давно.

НО как без админки залили файлы тогда?

Админка была закрыта. Понятно что через шелл.

Когда заходили на сайт была ошибка БАЗЫ.


Они создали своего пользователя в базе со всеми привелегиями

с нашего сервера рассылали СПАМ.

Были обнаружены PHP скрипты unlink (чтобы удалять файлы через PHP)

PHP архиватор, который работает по ссылке

То есть сайт клали в основном через базу, и один раз хостер отключил за СПАМ запросы..



Они оставили код во многих файлах, на скрине показано в скольких файлах он был и был удален

Вы искренне полагаете что для залива вредоноса обязательное условие это доступ к админке? У меня для вас плохие новости.
Вангую, что ломают Вас всеми известными способами которым подвержен необновленный битрикс и php. Плюс туда же дыры в шаблоне Аспро.
Белые списки IP для админки это хорошо, но полностью проблемы не решает.

Вы думаете файлы какой то злобный хацкер вручную через админку заливает ?
Всё это 100% автоматизировано - скрипты роботы на уровне уязвимостей разных уровней всё это делают в массовом порядке.

Это случилось, потому в прошлый раз я не до конца дыры убрал. Я по дате изменений файлов делал список и чистил. Но один из злоумышленников был хитер и подменил дату модификации трех файлов. Скопировал дату у соседних нормальных файлов. Нашел, почистил. Больше не всплывало