Волею судеб попал на ветку официального форума 1С Битрикс по взлому данной системы управления сайтом — как то в давнее время несколько клиентов были взломаны, пришлось вникать в тему.
Собственно, тема актуальна и по сей день — в форум постоянно приходят новые люди с той же самой проблемой.
«Сайт на движке Битрикс взломали — что делать?»
Накидал в ветке небольшую инструкцию
https://dev.1c-bitrix.ru/community/forums/messages/forum6/topic147346/message746142/?result=edit#message746142

Продублирую и сюда, и думаю буду пополнять новыми советами, сигнатурами и т.п. В общем аккумулировать всю полезную информацию с ветки.

Итак, рекомендации при взломе сайта:

* сделать бэкап текущего состояния сайта, скопировать логи для дальнейшего изучения

* сменить все пароли — ssh, ftp, все админские учетные записи на сайте

* воспользоваться штатными средствами Проактивная защита
начать с поиска троянов /bitrix/admin/xscan_worker.php?lang=ru

* воспользоваться сторонними средствами ( aibolit и т.п.)

* поискать по файлам вручную (самое быстрое в консоли по ssh), довольно много сингатур публиковались в этой ветке — конкретный пост не подскажу, давненько было дело — нужно искать. Я по ним много раз находил заразу.

* посмотреть агентов — чтобы лишних не было (если зараза в агентах, то смысла в файловой системе искать нет — всё равно будет заново создано)

* так же в памяти не помешает глянуть (или ребутнуть аппача), бывает зараза сидит в памяти и при удалении сама себя сразу же восстанавливает

* добавить код сайта в гит (будете изменения быстро вылавливать, а так же контролировать новые файловые изменения)

* поставить какой нибудь скриптик по отлову изменений (например, при изменении сразу письмо на электронку)

так по горячим следам гораздо проще анализировать логи (например за последние сутки)

* по логам вычислить заразу и прибить

* после чистки — режим наблюдения (скрипт изменений + гит либо просто регулярно git status в ручном режиме)

* регулярное резервное копирование (желательно не сюда же — в облако или стороннее хранилище, при наличии гита можно бэкапить только БД)

как то так …

P.S.

Так же можно обратиться в саппорт Битрикса — есть случаи когда помогали найти и устранить уязвимость, при наличии актуального ключа поддержка осуществляется бесплатно.

Либо банально найти специалистов по взлому и безопасности и обратиться к ним, но это естественно уже не бесплатно