accesser, У меня такая же проблема, BitrixVM7.5.2 на CentOS появился процесс .top отжирающий все CPU, стояли последние версии всех модулей Битрикс 23.300.100 под PHP7.4, техподдержка пока никак не комментирует где именно уязвимость. Были модифицированы некоторые файлы, появился eval, из того что удалось найти через плагин xscan:
urlrewrite.php
/bitrix/header.php
/bitrix/modules/main/admin/define.php
/bitrix/modules/main/include/prolog_before.php
В папке /home/bitrix/.ssh/ появился файл с ключом authorized_keys - ключ удалил, поменял права доступа к файлу на root:root (возможно есть смысл вообще отключить вход по ssh с использованием ключей, т.к. оказалось что вход с ключом не логируется, ну и после входа они явно почистили логи)
Файл /home/bitrix/.nodes - удалил
Запущенный процесс .top - убил
В файле /var/spool/cron/bitrix - удалил запуск .nodes
Где уязвимость пока неизвестно, жду ответа техподдержки Битрикс, но чисто интуитивно кажется они вошли через default сайт (можно войти по айпишнику сервера), при переезде на новый хостинг его просто забыли деактивировать и там была чистая не завершённая установка Битрикс, т.е. они зашли и установили Битрикс, дальше видимо залили свои эксплоиты и получили доступ к папке /home/bitrix/.ssh - закачав туда rsa-ключи, потом уже чрез ssh установили свой скрипт майнинга.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Кроме того они рекомендуют переходить на PHP8.0, ибо PHP7.4 сам по себе уязвим.