Очень странную ситуацию вы описываете. Как будто мы о разных ТП говорим. Ребята всегда очень хорошо отрабатывали инциденты безопасности.
Ссылку на модуль вам правильную дали. Этот инструмент поможет найти всё подозрительное на сайте (но если что-то загружено каталогом выше на сервер или в соседний сайт, то конечно не обнаружит). Если не хватает квалификации оценить результаты сканирования - можете прислать мне доступ, я попробую посмотреть (если не боитесь меня конечно).
Доступ к выполнению пхп в upload на уровне веб сервера пробовали закрыть?
Если говорить про вирус, делается ботами массово, ftp - это самый простой путь, подбирать пароли и организовывать модификацию файлов через панель битрикса гораздо более трудоёмко и менее эффективно. Базовая защита в виде капчи при неправильном вводе блокирует перебор паролей.
Когда речь о взломе, это совсем другая ситуация. Тут уже ручная работа, это обычно или соседние сайты на разделяемом хостинге, или свой софт в виде дополнительного визуального редактора, phpMyAdmin и пр.
Теперь о техподдержке. Вирус - это совсем не наш вопрос, мы не можем ни повлиять на это, ни полечить, поэтому только общие рекомендации. Но если у клиента активный лицензионный ключ, через систему обновлений техподдержка может переписать все файлы ядра. Это помогает восстановить работу сайта, когда клиентский компьютер полечен, а пароли ftp поменяны.
Взлом - это троянская программа или другие следы хакерской атаки, здесь наша задача исключить вариант взлома через наш продукт, поэтому берем информацию чтобы выяснить, как бэкдор попал на сайт, потом ищем причину. Если в логах веб-сервера нет следов, значит взлом был через ftp или банальную утечку пароля. Например, были ситуации, когда пользователь просто авторизуется под админом, загружает бэкдор и уходит. Через месяц(ы) появляются странные вещи на сайте.
делает вот такую гадость - http://joxi.ru/n2Y8vXMiyDWbm6 за день в очереди может накопиться до 20 тыс сообщений. Серсер изза них нормально не может работать + все поисковики и мейлы банят домены и IP хостинга.
сервер VPS на нем у нас 12 сайтов. Все пошло из сайта alltai.ru вот последний отчет сканирования - http://alltai.ru/AI-BOLIT-REPORT-_vhosts_proprocenter_ru_alltai-960618-25-02-2016_03-23.html неделю назад мы уже вычистили 38 файлов . Вирус крамсает родные битриксовские файлы , добавляет код в одну строку , если открыть то не вооружённым глазом ты не поймешь что там есть код ...но это не главное , главное , что мы не можем понять откуда и как он заходит и находит дыры!
1 пробовали сканер от битрикса - нашел 1 файл 2 воспользовались скриптом - https://revisium.com/ai/ (я вот думал может ребятам написать с этого продукта, может они помогут... как думаете? У них побольше опыта в этом...)
все операции которые опишу ниже, были сделаны относительно всех проектов! Самый проблемный это alltai.ru на нем спустя какое то время сканер все находит и находит такие скрипты. На остальных проктах вычистили по 1-2 файла в корне сайта они назвались info.php на этом. Но хочу отметить что отправка идет со всех mail которые принимают почту именно на сервере таких из 12 - 5 шт.
Вчера целую ночь боролись , и вот что сделали
1 поменяли пароли на почте (у каждого домена свой пароль минимум 15 символов)
2 проверили все сайты скриптов который ищет вредоносный код “ai-bolit.php”, все что нашел - вычистили или удалили.
3 поставили самые новые обновление 1С битрикс
4 запустили проактивную защиту , проверили все сканером. Исправили все ошибки которые битрикс порекомендовал нам исправить
5 поменяли пароли к БД
6 поменяли доступы к сайту - у всех админских пользователей . Повысили уровень безопасности для админов
7 проверили доступ к папкам и файлам у всех они 755 и 644
Алексей Задойный, Я за любую помощь ... потому что уже 3 ночи нормально не сплю! за 5 лет с Битриксом , первый раз такое вижу. Сколько будет стоить Ваш "Спортивный интерес" ?
1. Как вы разделяете сайты на сервере? Простое правило одна учётная запись - один сайт выполняется? 2. Закройте доступ по ftp (SCP) со всех IP кроме ваших (файл hosts) 3. На самом VPS какая панель используется? 4. Если не используется IPV6 - удаляем его 5. fail2ban установлен?