Форум

ну так если у вас зараза уже сидит - тут позно пить Боржоми
предположу, что ядро сайта регулярно не обновлялось?

ну значит у вас в бэкапе зараза сидит, иначе не объяснить

врят ли Вам готовое решение тут озвучат - нужно анализировать, искать заразу

для начала попробуйте просканировать на заразу встроенным сканером, потом запустите проверку изменённых файлов ядра - если такие будут найдены, обратитесь в саппорт - помогут восстановить

ps
иньекцию можно деабфуцировать, но это так - чисто ради интереса ... сам бэкдор оно найти не поможет

[QUOTE]MIKVISSON написал:
Здравствуйте  как вы решили проблему ?[/QUOTE]

если сайт уже взломан - тут только вручную надо всё чистить (без специалиста Вы врят ли сможете)
ну и обязательно обновить ядро до актуального - последние версии вроде не ломают, по крайней мере я не встречался

в настройках безопасности для всех групп где состоит пользователь поставил ноль (было не переопределять)
Требовать смены пароля через указанное количество дней:

всё равно зайти не могу - ошибка
"Срок действия пароля истек, необходимо сменить пароль."

Магедон Арфаломиев, если совет - см. логи
либо пиши в личку

[QUOTE]IgorX IgorX написал:
НО как без админки залили файлы тогда?[/QUOTE]

Вы думаете файлы какой то злобный хацкер вручную через админку заливает :) ?
Всё это 100% автоматизировано - скрипты роботы на уровне уязвимостей разных уровней всё это делают в массовом порядке.

Всем привет!

Кто нить такое лечил?
Простое удаление не помогает - через несколько минут восстанавливается

Толку нет от закрытия /bitrix/admin/ ломают через другие дыры

Александр Иванов,  ничего себе Вы работу провели - спасибо!

Ну по коду я ничего страшного тут не приметил, фигня какая то.
Просто был кейс - открыл МВ версию сайта, открылась модалка - "Установите мобильное приложение" хотя его отродясь не было...

[QUOTE]Александр Иванов написал:
2. ищите уязвимость с помощью которой он к вам попал[/QUOTE]

туд да - надо искать т.к. код явно не из ядра Битрикса (саппорт подтвердил)

[QUOTE]Юрий написал:
отестил, доходящие до Битрикса запросы прям в разы упали, рекомендую всем для уменьшения разной гадости!Приложение для хрома  HTTP Indicator   , наглядко покажет версию HTTP на сервере[/QUOTE]

чёт не очень понял, почему упали - объясни плиз
т.е. атакующие юзают в основном HTTP - а реальные юзера работающие из браузера HTTP2 ?

а роботы всякие полезные нормально HTTP2 скушают при блокировке HTTP1?