Михаил Есенин

Кроме комплексного аудита, как посоветовали выше, советую регулярный мониторинг безопасности. Грубо говоря, сервис, который раз в неделю проверяет, что у вас нет дыр в старом коде и не появился новый код с уязвимостями. Это умеют делать многие сканеры, например, metascan или detectify.

Выше всё верно пояснили про Wordpress, его плагины и темы. Могу ещё добавить, что при недостаточных ресурсах на хостинге или нежелании покупать на полноценное использование плагины по безопасности можно проверить сайт снаружи, т.н. black box, чем-то специфическим, специально для WP. Навскидку, это:
- https://wprecon.com
- https://metascan.ru
- https://hackertarget.com/wordpress-security-scan/

Поддерживаю насчёт бэкапа - это раз.
Есть всё это произошло практически одномоментно, то стоит воспринимать это как целевую атаку, а не случайность, и защитить себя от фишинга - это два.
Третье - если нет уверенности в том, что в сайте нет дыр, то не ждать пока взломают, а просканироваться acunetix.com, metascan.ru, pentest-tools.com снаружи для проверки инъекций и так далее.

Насчёт уличить - увы, тут либо иб-криминалистов привлекать, либо думать кому вы насолили.

В файлах вирус мог обосноваться очень глубоко. Если проверили всё руками и точно уверены, что его там нет, то можно посмотреть на другие вектора внедрения (хотя я бы всё же попросил специалиста глянуть код).
Другие вектора:
- логины/пароли от FTP - вы могли переехать на новый сайт, но если ваш комп заражён и злоумышленники знают, куда вы заходите и что вводите, но и новые пароли они перехватят автоматически.
- дыры в компонентах сайта - возможно, это целевая атака, кто-то специально вас ломает. Тогда проверьтесь через Acunetix, Metascan, Detectify, чтобы найти возможные дыры для заливки шелла, внедрения SQL-инъекций и так далее.

Самые частые варианты:
1. Украдены логин/пароль из FTP-клиента/из браузера, затем прямой доступ использовали для изменения кода
2. Заливка шелла на сайт через формы с недостаточной фильтрацией
3. Заражённый модуль/обновление
4. Другие уязвимости сайта (например, SQL-инъекция)

Есть такая программа: Router Scan, она как раз позволяет сканировать IP роутеров и пробовать их взломать, используя известные уязвимости и дыры в безопасности.

Как ни странно, многие роутеры ломаются подобным образом. После чего их используют как бесплатные VPN-сервера и прокси серверы, например, или даже подменяют DNS-сервера на свои (так можно подменить адреса известных сайтов).

В общем, крайне советую проверить этой программой.

Из описания непонятно, какая сетевая схема. Возможно, вы выключаете порт, через который коммутатор соединен с сервером, но при этом на самом коммутаторе открыт 22 порт.
Пришлите более подробную техническую информацию, будет понятнее.

https://pentest-tools.com
https://metascan.ru
https://detectify.com
https://acunetix.com

Manul уже неактуален, к сожалению, Яндекс прекратил поддержку. Айболит поможет вылечить сам код, но может не найти дыру в сайте, через которую тебя заразили редиректом.
sql-инъекции можешь найти с помощью detectify.com/metascan.ru/sqlmap, затем нужно их устранить в самом коде, иначе хакеры опять тебе внедрят :)

Скорее всего, пытаются автоматизированными инструментами найти уязвимость в вашем коде, чтобы получить доступ к сайту. Это действительно скорее ботнет, чем какой-то конкретный хулиган.

Что делать?
1. Обновить движок, плагины
2. Сделать сканирование безопасности Битрикса встроенным аудитором
2. Обратить внимание на запросы, которые появляются, проверить что эти файлы не повреждены/не заражены (на всякий случай)
3. Проверить самостоятельно возможные дыры, если этот код самописный: используя sqlmap или detectify.com/metascan.ru/другой онлайн сканер безопасности

Самостоятельно можете запустить w3af, arachni, zap, sqlmap.
Если хотите готовые и красивые отчёты, то лучше онлайн-инструменты вроде acunetix, detectify, metascan.

https://acunetix.com
https://metascan.ru
www.arachni-scanner.com

Взломать могут через web-приложение, найдя SQL-инъекцию в коде. Это часто бывает в самописных CMS на PHP, где пренебрегают использованием синтаксиса параметров для запроса и делают простое сложение строк.

Есть подозрение, что взломали? Проверьте свой код, проверьте своё приложение. Для этого каждый URL, где есть какие-либо параметры, прогоните через sqlmap - специальная программа для поиска таких уязвимостей. Если не поможет или слишком долго, то попробуйте онлайн сканерами вроде metascan.ru и detectify.com.

И самое банальное - меняйте пароли доступа и делайте ограничение на вход по порту 3306 (mysql), если есть такая возможность.

Уверены, что проблема именно в Wordpress, злоумышленники никак больше не могли к вам попасть? Например, украв учётки к MySQL или FTP - смените пароли, если есть возможность.

Предполагаю, что прав на админские действия нет из-за изменений в базе: откатитесь к бэкапу или просмотрите вручную подозрительные записи. Не лишним будет посмотреть историю запросов к MySQL, если есть возможность на хостинге.

С файлами всё логично сделали, ещё разрешения лишние на запись и исполнение советую убрать.

Если не получится ничего найти внутри, то проверьте сайт снаружи на дыры с помощью https://metascan.ru, https://detectify.com или https://acunetix.com. Это онлайн-сканеры безопасности, они выдадут вам более подробные отчёты о дырах в безопасности, чем rescan.

Да, и проблема не в домене, как писали выше, домен попал в черный список из-за установленного редиректа, что логично.

Если разбираешься в коде, то изучить возможные дыры, проанализировав запросы, через которые взломали.
Если не разбираешься в коде, то попробовать натравить инструменты для поиска веб-уязвимостей, например:
- arachni
- w3af
Если нет возможности самому установить и разобраться, то можно воспользоваться онлайн-сканерами безопасности:
- METASCAN
- Detectify

Первое - это проанализировать логи. Возможно, увидишь запросы, через которые некие злоумышленники пытаются тебя взломать, а результатов является удаление данных. По журналированию запросов выше также дали хороший совет.

Так как проект самописный, то его необходимо обязательно проверять на уязвимости. Как минимум, сканером кода вроде AI-Bolit, и на дыры снаружи с помощью онлайн-инструментов вроде detectify.com, metascan.ru.

Ограничить, конечно же, права на удаление. И сменить на всякий случай доступы, вдруг кто-то периодически заходит к тебе и удаляет данные? ;)

Система такая есть - это Auditd. Но, кажется, тебе нужно выявить первопричину этих событий, index0h правильно расписал про поиск дыр. Сделать это можно как с помощью онлайн-сканеров безопасности вроде Pentest-tools, METASCAN, так и самому руками с помощью популярных утилит из того же Kali Linux. :)

Решение не совсем разумно, потому что потенциально могут взломать и основной сайт, и зеркало. Во-первых, хорошо бы разобраться, как сайт взломали, в чем причина и что из этого можно извлечь.

Если проблема в веб-безопасности из-за самописного кода: сделать аудит, исправить дыры, просканировать (acunetix/metascan/detectify). Поставить WAF, если нет ресурсов на исправление.

Если проникли через что-то ещё (допустим, забытые порты на VPS), то закрыть их от всех с помощью CDN. В крайнем случае, переехать на другой хостинг.

И если поднимать копию, то уж так, чтобы редирект на неё происходил незаметно для пользователя, через балансировщик. Например, такая схема:

Cloudflare -> Балансировщик -> Сайт 1, Сайт 2

При этом на балансере лучше не хранить ничего чувствительного, в том числе доступов к сайтам и бэкапов. Их делать лучше на отдельном сервере.

Выше правильно подсказали, что вероятна заливка шелла. Но дыр может быть много разных, особенно в Wordpress и его плагинах: такие уязвимости находят и ставят взлом на поток.

Как с этим бороться?
1. Постоянно обновлять все плагины
2. Сканировать периодически свои сайты на безопасность, чтобы быть в курсе новых уязвимостей. По Вордпрессу это хорошо делает сканер WPScan или онлайн-сканеры Acunetix.com/Metascan.ru