[QUOTE]Евгений Ширяев пишет:
Обнаружили, что идет куча попыток подбора пароля [url]http://awesomescreenshot.com/03c29bzz04[/url] И такая долбежка в течение суток. Отрубать в htaccess по IP?
[/QUOTE]Да, если есть возможность.
Или с помощью битрикса.
Но вообще лучше сменить ЛОГИН, чтобы у злоумышленника не было возможности подбирать пароль. + поставить ограничение Х попыток авторизации после чего показывать капчу.
[QUOTE]Также куча сообщений типа Попытка внедрения PHP - http://awesomescreenshot.com/0b229c0b14 Насколько это критично? Надо ли такие тоже блокировать по IP? [/QUOTE]Я предпочитаю банить такие Ип на время. Чтобы одумались. Обычно перебор они ведут "не там", так что опасности не представляют. Но если есть возможность следить не начались ли попытки инъекций где-то, где они возможны хотя бы теоретически (не в несуществующих директориях\файлах хотя бы), то стоит задуматься о возможных мерах.
[QUOTE]Также в журнале событий обнаружили заходы с событием Успешный вход для админского логина, но в эти часы под этим логином никто не заходил. События были на страницу вида /bitrix/tools/public_session.php?&interval=0&k=12аа5c55fcadgtaf51a86c4022238d11. Как такое может быть?[/QUOTE] Могли перехватить сессию или украсть куки. Рекомендую проверить машины всех пользователей на вирусы и сменить пароли.
Ну и раз злоумышленник уже мог попасть в админку, то стоит и сайт на вредоносный код проверить. Могут быть закладки.
Вообще обращайтесь в личку - занимаюсь такими вопросами в том числе на коммерческих началах (есть услуга "администрирование безпасности", условно называемая) - разбираюсь с инцидентами и даю рекомендации что где подкрутить.