Попала она к вам через уязвимости в вашем сайте. Для устранения уязвимостей рекомендуем обновить CMS Битрикс и его модули до последних версий. Также стоит обратиться к разработчику вашего сайта по этой ситуации или в поддержку Битрикс за дополнительной информацией.
Такая программа зачастую оказывается в директории /home/bitrix в качестве скрытого файла, поэтому увидеть его можно только через команду ls -la:
В этом списке есть вредоносный файл .node. Иногда такой файл имеет другие названия (например, встречается под названием .websever), но суть у них одна и та же.
В дополнение к этому в crontab пользователя bitrix заносится задача на запуск этой вредоносной программы:
Попала она к вам через уязвимости в вашем сайте. Для устранения уязвимостей рекомендуем обновить CMS Битрикс и его модули до последних версий. Также стоит обратиться к разработчику вашего сайта по этой ситуации или в поддержку Битрикс за дополнительной информацией.
Такая программа зачастую оказывается в директории /home/bitrix в качестве скрытого файла, поэтому увидеть его можно только через команду ls -la:
[root@server bitrix]# pwd
/home/bitrix
[root@server bitrix]# ls -la
total 72
drwx------ 11 bitrix bitrix 4096 Jul 2 12:30 .
drwxr-xr-x. 3 root root 4096 Aug 30 2022 ..
-rw------- 1 bitrix bitrix 126 Sep 6 2022 .bash_history
-rw-r--r-- 1 bitrix bitrix 18 Nov 24 2021 .bash_logout
-rw-r--r-- 1 bitrix bitrix 193 Nov 24 2021 .bash_profile
-rw-r--r-- 1 bitrix bitrix 231 Nov 24 2021 .bashrc
drwxrwx--- 8 bitrix bitrix 4096 Jun 28 09:00 .bx_temp
drwxrwxr-x 3 bitrix bitrix 4096 Sep 5 2022 .cache
drwxrwxr-x 3 bitrix bitrix 4096 Sep 5 2022 .config
drwxr-xr-x 9 bitrix bitrix 4096 Jul 2 05:19 dehydrated
-rw-r--r-- 1 bitrix bitrix 2546 Jul 2 05:19 dehydrated_update.log
drwxrwxr-x 3 bitrix bitrix 4096 Jun 30 22:20 .dotnet
drwxrwxr-x 8 bitrix bitrix 4096 Jun 28 09:00 ext_www
-rw-rw-r-- 1 bitrix bitrix 72 Jul 1 23:31 .gitconfig
-rwxrwxrwx 1 bitrix bitrix 1673 Jun 30 19:25 .node
drwxr----- 3 bitrix bitrix 4096 Jun 30 19:30 .pki
drwx------ 2 bitrix bitrix 4096 Jul 2 07:26 .ssh
drwxrwxr-x 5 bitrix bitrix 4096 Jun 30 22:20 .vscode-server
В этом списке есть вредоносный файл .node. Иногда такой файл имеет другие названия (например, встречается под названием .websever), но суть у них одна и та же.
В дополнение к этому в crontab пользователя bitrix заносится задача на запуск этой вредоносной программы:
[root@server bitrix]# crontab -l -u bitrix
*/10 * * * * bash ~/.node
Нужно удалить задание и сам файл