Вчера чистил 2 сайта от вируса. Файлы указанные в № 17 были на одном Битриксе от 25.-1.2016. И этот сайт ничем себя не проявлял. А другой сайт был отключен хостером из-за выявленного вируса. Там файлы с шелл были уже от 16.07.2016 года.
В итоге оказалось что злоумышленник проникал на сайт через веб-морду phpmyadmin. Однажды я правил файл /bitrix/.settings, открыл как обычный файл (нужно было редактировать "как php"), внес изменения и сохранил после чего его содержимое вывелось на главной странице сайта, прямо сверху. В этом файле содержатся учетные данные для подключения к базе. Я быстренько вернул все обратно, но видимо этого хватило для слива пароля, может поисковик закэшировал. Всегда думал что в phpmyadmin можно попасть только через админку хостинга, оказалось что вэб-авторизация доступна всем. Очень помогла разобраться статья, подкинутая техподдержкой https://habrahabr.ru/company/bitrix/blog/305704/ Будьте внимательны, меняйте пароли.
Кстати, для чего в Битриксе логин, пароль для подключения к БД содержится в двух файлах /bitrix/.settings и /bitrix/php_interface/dbconn.php?
Антон Петров написал: Кстати, для чего в Битриксе логин, пароль для подключения к БД содержится в двух файлах /bitrix/.settings и /bitrix/php_interface/dbconn.php?
Это файлы настроек нового и старого ядра.
Цитата
Настройки в новом ядре выполняются в файле /bitrix/.settings.php. Напомним, что в старом ядре аналогичные настройки выполнялись в файле /bitrix/php_interface/dbconn.php. Файл .settings.php структурно сильно отличается от прежнего dbconn.php.
По данной проблеме уже неоднократно сталкивался, предупредить ее появление пока не удалось, но нашел способ лечения. Для сайтов, поднятых на базе VPS вот тут: http://pai-bx.com/wiki/linux/2292-recursive-search-phrase-in-the-server-files/ описывал способ поиска фразы. находите фразу, характеризующую ваш вредоносный код и по ней ищете по всем файлам сайта - выдаст скорей всего header, footer шаблона и очень много файлов шаблонов компонентов template.php