Форум

[QUOTE] написал:
он появился у меня недавно, так понимаю в период аттаки на bitrix. Запрос в Яндексе выдает ссылку на сайт  [URL=https://www.polivalka.su/manuals/cas-shell.php]C.A.S@shell (polivalka.su)[/URL] где содержится такой код же как в моем файле(.index.php). Любой человек может провалиться на эту ссылку которую я указал и выполнять свои запросы. Мне хотелось по подробнее, что позволяет выполнять такой терминал, для чего он?[/QUOTE]
Вы я смотрю вообще отчаянный человек :)
я пока с помощью Вашего же шелла его у Вас переименовал, от греха подальше  (в какой файл тут писать не буду, а то не все такие добрые как я)

это небольшая демонстрация того, что можно сделать :)

[QUOTE] написал:
в поиске C.A.S@shell выдает запрос, по сути открывает вот такое терминальное окно на базе команд linux[/QUOTE]
не понял - что это значит "в поиске C.A.S@shell выдает запрос" ?
т.е. любой человек может провалиться к Вам в такое терминальное окно и выполнить шелл команду?

временно убираем /bitrix/modules/security/ из /modules/

заходим в админку, перенастраиваем домен (в главном модуле и настройках сайтов)

в мускуле скидывааем опцию
UPD ATE `b_option` SE T `VALUE` = 'planetaexcel.loc' WHERE `b_option`.`MODULE_ID` = 'security' AND `b_option`.`NAME` = 'restriction_hosts_hosts';

либо в php командной строке
use Bitrix\Main\Config\Option;
Option::set("security", "restriction_hosts_hosts", "НОВЫЙ ДОМЕН");

скидываем весь кеш!

после чего возвращаем security на место

смотрю уже до фаервола добрались - молодцы :)

тогда уж рекомендую и fail2ban воткнуть ... брутфорсы пр ssh и ftp тоже до добра не доведут

извиняюсь, упустил эту информацию из виду
тогда нужно держать ухо в остро!
большая вероятность, что бэкдор куда нить подселили

похоже никаких взломов и не было :)

сделайте бэкап и "снимок" файлов сайта - не помешает

[QUOTE] написал:
новые пользователи могут не иметь со взломом ничего общего. если на сайте открытая регистрация с подтверждением - вот вам и боты[/QUOTE]
с правами администратора магазина?

для начала просто логи веб сервера поизучайте - post запросы
старайтесь по времени угадать с временем создания ботов
это уже даст пищу для анализа

я не про управление сайтом - расширенное логгирование к подозрительным скриптам приматывал вручную

логи надо смотреть на уровне веб-сервера (nginx, httpd)

[QUOTE] написал:
[QUOTE] написал:
Здравствуйте. Сайт взломали похожим образом, но не создавали файлы putin_**** . Все файлы, которые были найдены антивирусом я удалил, сайт обновил, работоспособность вернул (не считая некоторых кодировок), но все равно продолжают создаваться новые аккаунты ботов с правами администратора. Возможно как то это остановить/заблокировать? Или где возможно прячется код, который создает эти аккаунты? Если подобный вопрос был, то заранее извиняюсь, возможно пролистал.[/QUOTE]

Наверное самый быстрый способ будет, написать обработчик события на создание пользователя, в него добавить лог, куда записать всё, до чего можно дотянуться, стэк вызовов в том числе, ну и блокировать создание естественно. Потом анализировать.

Если конечно пользователя создают через API, а не напрямую в БД пишут.[/QUOTE]
По дате создания аккаунтов можно логи и сразу глянуть - может чего подозрительное в глаза бросится ...
Ещё думаю не помешает и расширенное логирование (с сохранением тела post запроса) - выше код выкладывал.

PS ещё посмотрите агентов - может там зараза сидит