Я связывался с персональным менеджером timeweb, она попросила, чтобы вы все написали названия аккаунтов, она создаст массовую заявку на рассмотрение проблемы.

У меня tinymcerte
Для него делал следующим образом:

1) В системных настройках (tinymcerte.plugins) в список плагинов редактора добавил свой myButtons

2) создал папку myButtons и файл внутри

assets/components/tinymcerte/js/vendor/tinymce/plugins/myButtons/plugin.min.js

В самом файле следующий код.
Оставил добавление двух видов, кнопку и ссылку

tinymce.PluginManager.add('myButtons', function (editor, url) {

    // Add a button that opens a window
    editor.addButton('myButtonLink', {
        text: 'Кнопка ссылка',
        icon: false,
        onclick: function () {
            // Open window
            editor.windowManager.open({
                title: 'Параметры кнопки',
                minWidth: 500,
                body: [
                    {
                        type: 'textbox',
                        name: 'btnlink',
                        label: 'Ссылка',
                        tooltip: 'Если это ресурс на сайте, то указывать так: [[~33]] : где 33 - id ресурса/товара',
                    },
                    {
                        type: 'textbox',
                        name: 'btntext',
                        label: 'Текст на кнопке',
                        tooltip: '',
                    },
                    {
                        type: 'listbox',  
                        name: 'btnclass',  
                        label: 'Вид кнопки', 
                        values: [
                            { text: 'Зеленая', value: 'btn-green' },
                            { text: 'Синяя', value: 'btn-blue' }
                        ]
                    }
                ],
                onsubmit: function (e) { 
                    if (!e.data.btnlink) {  
                        alert('Укажите ссылку для кнопки!');
                        return false;
                    }    
                    editor.insertContent('<a href="'+e.data.btnlink+'" class="btn btn-middle '+e.data.btnclass+'">'+e.data.btntext+'</a>');
                }
            });
        }
    });


    // Написать нам
    editor.addButton('myButtonScribeUs', {
        text: 'Написать нам',
        icon: false,
        onclick: function () { 
            editor.insertContent('<button type="button" class="btn btn-dark btn-middle" data-toggle="modal" data-target="#write-us" data-tab="0">Написать нам</button>'); 
        }
    });

});

Как это выглядит по итогу

У меня именно и только такое ощущение, что проблема в хостинге. Ни на каких других данная проблема не проявилась.
У timeweb появилась функция изоляции сайта, не знаю как давно, обнаружил ее недавно. по умолчанию она выключена, может включенная она поможет, если заражение пришло от соседских аккаунтов.

Ни у кого не возникло ощущение, что проблема в самом timeweb?
Читаю комменты выше и вижу что все хостятся на таймвебе. У нас тоже около 30 сайтов на таймвебе, около 30 у других хостеров. Проболемы возникают пока только на тех, кто на таймвебе.
Есть среди пострадавших те, у кого иной хостинг?
Кто то уже проводил анализ своего сайта на предмет, как именно сайт становится источником заражения? (потому что я пока тупо не успеваю, очень долго в переписке прощу, чтобы хостинг вернул доступ к директории нашего пользователя, они пишут что вернули, я вхожу по ssh но через считанные секунды мне хостинг снова меняет права на мою директорию и я снова не могу даже скачать якобы зараженные файлы сайта. И так по кругу).

Это даст кратковременный результат, от пары минут, до пары недель.

Сайт написан на WP. Отношение к MODX не имеет. Пользователь просто аккуратно расставляет ссылки для SEO.

Такая же проблема. Таймвеб заблокировал сайты по превышению нагрузки на процессор.
В качестве рекомендаций получены следующие инструкции.
Может кому-то пригодятся, сам пока не вникал

В первую очередь рекомендуем проверить следующие директории, так как очень часто подозрительные процессы запускаются именно из них:
~/.config/session/config/logs/php-fpm/model/observer/
~/.local/session/config/logs/php-fpm/model/observer/
~/.gnupg/session/config/logs/php-fpm/model/observer/
~/.gnupg/php-fpm/session/mods/logs/config/observer/
~/.gnupg/config/mods/logs/session/php-fpm/observer/
~/.config/htop/defunct.dat
~/.config/htop/defunct
Если директории из списка выше существуют, рекомендую по возможности их удалить.
Дополнительно прошу удалить файл ~/.profile

Также вижу, после разблокировки на аккаунте запустились следующие подозрительные процессы:

[slub_flushwq] 

Поэтому рекомендую подключиться к консоли аккаунта и выполнить команду:
killall -9 -u $(whoami)
Которая завершит все пользовательские процессы, включая вредоносные.

Ответ ТП:
Наши инженеры уже в курсе проблемы и собрали достаточно информации по майнеру. Паттерны выявили и сейчас ищем оптимальное решение.

А да, похожие файлы встречался у меня и в pdotools и в других модулях (У меня задено много сайтов на разных аккаунтах, поэтому могу сравнить)

Забавно, вирусы, которые убирают конкурентов.

Мне кажется надо вот эти модули прошерстить, оставить методом исключения парочку, потом удалить эти модули на зараженных сайтах и посмотреть будет ли возникать повторы.

Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit

Сервисы по защите от скликивания
clickfraud.ru/
botfaqtor.ru/

Так же советую использовать elama.ru (это не реклама, как и всё остальное) там можно защитой от скликивания пользоваться бесплатно, плюс ещё зарабатывать процент от рекламы заказчика

У меня сейчас больше подозрений (я не безопасник) на mSearch2 был найдет вот такой файл \components\msearch2\cache.php при этом у других компонентов ничего не было, прелогаю что написал о файле chatgpt

>>>Были еще файлы, которые как я понял отправлял консольный запрос сервер
Что за файлы?

он запрос порезанный прислал, там доступы от БД отправляются, т.е вирус уже знает данные для входа.

Были еще файлы, которые как я понял отправлял консольный запрос сервер, как мне кажется для запуска systemd, который уже циклично в течение 10 секунд проверял активирован ли майнер и если нет, то запускал его.

Но я нифига не безопатсник — это мои догадки

Здесь вроде просто запросы в попытках найти файлы. В том же easyredirects, например, нет action.php, просто 404 ошибка должна быть.

adminer-5.2.1.php — искали файл админера… но вроде бы эти запросы не могут привести к заражению

Как было у меня

May 4 01:51:38 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:51:36 +0300] «POST /ass_7856/components/easyredirects/action.php?username=cv95498_site HTTP/1.0» 302 20 «site.ru/ass_7856/components/easyredirects/action.php?username=cv95498_site» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»

May 4 01:58:41 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:58:41 +0300] «POST /adminer-5.2.1.php HTTP/1.0» 302 20 «site.ru/adminer-5.2.1.php» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»

Спасибо! Надо потестить.

В общем сделал я это одним спокойным вечерком, свежий релиз в магазине.

На одном сайте есть, на 3-х нет

Привет! Компонент MinifyX есть на зараженных сайтах?