Форум

Иван Петров, Это уже "вторичка".
Надо искать пост который этот файл создал.

[QUOTE]Надежда Юзькова написал:
хотя запросы продолжаются[/QUOTE]

а что за запросы? куда долбят?

когда .htaccess похерели на сайте клиента, я несколько тысяч инфицированных .htaccess поиском нашел
пришлось с бэкапа восстановиться

правда я только файловую структуру восстанавливал - БД не трогал (в этом случае обязательно проверить наличие вирусни в агентах)

[QUOTE]Павел Русак написал:
Временно лечение:1. В агентах отключить Агента с ид 1, где будет код вируса.2. Если ВМ, на сервере прибить процесс вируса (он будет следить, чтобы файлы не менялись)ps aux | grep phpнайти подозрительные.3. Вернуть нужные index.php и .htaccess4. Почистить .htaccess в других папках...[/QUOTE]

что-то новенькое!
а как залезают то?

тут самое интересное (и конечно самое трудоёмкое) - анализ логов и выявление дыры

[QUOTE]Артур Бай написал:
апдейты стоят, vote удален, логи анализируем[/QUOTE]

а вот это уже совсем неприятно  ...
в саппорт Битры не обращались?

[QUOTE]Артур Бай написал:
смысл в том, что может у кого-то такая же последовательность была и есть какое-то решение, просто не озвученное здесь[/QUOTE]

такой злобной "дичи" как у Вас я не встречал ещё - как найдёте дырку, не поленитесь - отпишите плиз

[QUOTE]Дмитрий Загайнов написал:
Не забывайте, что ломать могут вообще не через Битрикс, а через другой дырявый сайт на этом же аккаунте, например, тот же WordPress. А Битрикс страдает просто «за компанию».[/QUOTE]

да, конечно
мной в априори подразумевается, что сайт на хостинге один и речь именно о Битриксе из коробки - в сторонних модулях гипотетически тоже дыр можно найти не мало

по хостингу т.к. речь шла именно о bitrix-env я рассматриваю этот момент тоже в контексте дыр Битрикса  
(хотя тут пока не подтверждено - человек просто наговорил всего и "слился" а-ля пусть меня Битрикс сам попросит)

в данной ветке один чел говорил, что VDS уязвимы ... но всё это осталось без какого либо подтверждения

в основном взломы в этой ветке сводятся на дыры в  vote.php и html_editor_action.php
которые давно зафикшены обновлениями Битрикса

Смысл выкладывать - что поломали? Тут может быть что угодно... В зависимости от того что захочет взломщик.

Гораздо интереснее - как проникли и почему?
Апдейты на движек всё стоят?
Модуль vote физически удалён?
Вы попробовали проанализировать логи?