Михаил Есенин

Есть такая программа: Router Scan, она как раз позволяет сканировать IP роутеров и пробовать их взломать, используя известные уязвимости и дыры в безопасности.

Как ни странно, многие роутеры ломаются подобным образом. После чего их используют как бесплатные VPN-сервера и прокси серверы, например, или даже подменяют DNS-сервера на свои (так можно подменить адреса известных сайтов).

В общем, крайне советую проверить этой программой.

Скорее всего, пытаются автоматизированными инструментами найти уязвимость в вашем коде, чтобы получить доступ к сайту. Это действительно скорее ботнет, чем какой-то конкретный хулиган.

Что делать?
1. Обновить движок, плагины
2. Сделать сканирование безопасности Битрикса встроенным аудитором
2. Обратить внимание на запросы, которые появляются, проверить что эти файлы не повреждены/не заражены (на всякий случай)
3. Проверить самостоятельно возможные дыры, если этот код самописный: используя sqlmap или detectify.com/metascan.ru/другой онлайн сканер безопасности

Уверены, что проблема именно в Wordpress, злоумышленники никак больше не могли к вам попасть? Например, украв учётки к MySQL или FTP - смените пароли, если есть возможность.

Предполагаю, что прав на админские действия нет из-за изменений в базе: откатитесь к бэкапу или просмотрите вручную подозрительные записи. Не лишним будет посмотреть историю запросов к MySQL, если есть возможность на хостинге.

С файлами всё логично сделали, ещё разрешения лишние на запись и исполнение советую убрать.

Если не получится ничего найти внутри, то проверьте сайт снаружи на дыры с помощью https://metascan.ru, https://detectify.com или https://acunetix.com. Это онлайн-сканеры безопасности, они выдадут вам более подробные отчёты о дырах в безопасности, чем rescan.

Да, и проблема не в домене, как писали выше, домен попал в черный список из-за установленного редиректа, что логично.

Система такая есть - это Auditd. Но, кажется, тебе нужно выявить первопричину этих событий, index0h правильно расписал про поиск дыр. Сделать это можно как с помощью онлайн-сканеров безопасности вроде Pentest-tools, METASCAN, так и самому руками с помощью популярных утилит из того же Kali Linux. :)

Выше правильно подсказали, что вероятна заливка шелла. Но дыр может быть много разных, особенно в Wordpress и его плагинах: такие уязвимости находят и ставят взлом на поток.

Как с этим бороться?
1. Постоянно обновлять все плагины
2. Сканировать периодически свои сайты на безопасность, чтобы быть в курсе новых уязвимостей. По Вордпрессу это хорошо делает сканер WPScan или онлайн-сканеры Acunetix.com/Metascan.ru

0. Изучить логи. Действительно, запрос выше мог быть вызван вирусом, а мог и не быть. Но начать с этого сайта стоит.
1. Просмотреть дату изменения файлов и содержимое главных файлов. Дата часто меняется, но встроенный скрипт обнаружишь невооруженным глазом.
2. Просканировать все файлы сканером вроде AI-Bolit - он выявит внедренные вирусы.
3. Проверить внешний периметр - добавить все сайты в онлайн-сканеры вроде METASCAN или Detectify. Они быстро найдут подозрительные скрипты и дыры