Форум

[QUOTE] написал:
[QUOTE] написал:
1 и 4 файлы удалить. 2 и 3 править. Также еще поправить уязвимые файлы или обновиться. Иначе ситуация повторится.[/QUOTE]
4 точно удалять? А править - каким образом, что нужно удалить из этих PHP?[/QUOTE]
Сравнивайте код с незараженным. Вообще об этих файлах уже писали в ветке, например здесь про bx_root.php подробно все расписано:
[URL=https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message726004/#message726004]https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message726004/#message726004[/URL]

[QUOTE] написал:
На одном из проектов в index.php[/QUOTE]
Если взять начало файла:[CODE]$xmlname = '%71%6B%6A%6E%78%72%78%64%2E%67%79%6E%71%6C%67%78%79%2E%67%6­2%63';
$goweb = str_rot13(urldecode($xmlname));
echo $goweb;
[/CODE]Этот код распечатает:[CODE]dxwakekq.tladytkl.t%6­2p[/CODE]Вы же такую переменную вряд ли сами писали в своем коде. Значит это инъекция. Ищите бекапы, сравнивайте и зачищайте.

По своему опыту:
Если .htaccess и index.php после изменения сразу восстанавливаются, то сервер ребутить необязательно, нужно найти процесс(ы) хакера и убить их:[CODE]ps aux | grep <user>[/CODE]user - это под кем работает сайт. Нужно искать процессы с файлами типа lock360.php, lock666.php и т.п. (где-то был их список). Потом по id процесса:[CODE]kill <id_proc>[/CODE]Еще, имхо, зараженные файлы лучше не удалять, а чистить и блокировать. Есть такой атрибут неизменяемости:[CODE]chattr +i <file>[/CODE]проверить:[CODE]lsattr <file>
----i---------e------- <file>[/CODE]После этого файл изменить никто не сможет. Владелец останется прежним. Снять атрибут можно так:[CODE]chattr -i <file>[/CODE]Если есть сомнения, то можно все в файле закомментировать и сделать его неизменяемым.