написал: Взломали с помощью записанных в папку upload файлов (у нас это /upload/tmp/BXTEMP-2022-06-28/), которые добавляют и запускают агента (ID=1). Скорее всего это связано с уязвимостью модуля vote известной ещё с апреля - на сайтах не было обновлений, в которых была исправлена ошибка безопасности. Ссылка на уязвимость https://bdu.fstec.ru/vul/2022-01141