Пару дней назад тоже самое у одного клиента. Найти закономерностей или каких-то уязвимых пакетов не получилось.
А вот хостинг как раз Timeweb — и очень похоже, что именно у них где-то дырка. Что характерно — заблокировали молча, без всяких предупреждений о нагрузке — потом изучая график нагрузки стало понятно, что уже больше месяца этот майнер работал.
Так же рекомендую произвести поиск каким-нибудь антивирусам по популярным функциям типа base64_decode или развернуть старый бэкап — так как было найдено 3 бэкдора в разных папках сайта + админер в одной из папок, которых ранее точно не было.

Привет, может я и припозднился с ответом, но столкнулся с такой же проблемой спустя 3 года) Помогло такое решение:

&where=`{"properties:LIKE": "%\"rate\":\"5\"%"}`

Круто! Считай готовый «антивирус». Конечно голосуем за пакет! (и поддержку sсheduler для периодического запуска :))

Хорошее решения для того что бы не отслеживать сайт самому, да ещё и уведомляет в телеграм, интересно на сколько сильно загружает во время обработки, а так супер, если будет приложение, я думаю будет пользоваться спросом

Добрый день! Тоже была эта проблема.
Сейчас нашел по адресу /public_html/assets/components/tinymce/action.php
Аккаунт cg69669

cc55225

Я связывался с персональным менеджером timeweb, она попросила, чтобы вы все написали названия аккаунтов, она создаст массовую заявку на рассмотрение проблемы.

У меня tinymcerte
Для него делал следующим образом:

1) В системных настройках (tinymcerte.plugins) в список плагинов редактора добавил свой myButtons

2) создал папку myButtons и файл внутри

assets/components/tinymcerte/js/vendor/tinymce/plugins/myButtons/plugin.min.js

В самом файле следующий код.
Оставил добавление двух видов, кнопку и ссылку

tinymce.PluginManager.add('myButtons', function (editor, url) {

    // Add a button that opens a window
    editor.addButton('myButtonLink', {
        text: 'Кнопка ссылка',
        icon: false,
        onclick: function () {
            // Open window
            editor.windowManager.open({
                title: 'Параметры кнопки',
                minWidth: 500,
                body: [
                    {
                        type: 'textbox',
                        name: 'btnlink',
                        label: 'Ссылка',
                        tooltip: 'Если это ресурс на сайте, то указывать так: [[~33]] : где 33 - id ресурса/товара',
                    },
                    {
                        type: 'textbox',
                        name: 'btntext',
                        label: 'Текст на кнопке',
                        tooltip: '',
                    },
                    {
                        type: 'listbox',  
                        name: 'btnclass',  
                        label: 'Вид кнопки', 
                        values: [
                            { text: 'Зеленая', value: 'btn-green' },
                            { text: 'Синяя', value: 'btn-blue' }
                        ]
                    }
                ],
                onsubmit: function (e) { 
                    if (!e.data.btnlink) {  
                        alert('Укажите ссылку для кнопки!');
                        return false;
                    }    
                    editor.insertContent('<a href="'+e.data.btnlink+'" class="btn btn-middle '+e.data.btnclass+'">'+e.data.btntext+'</a>');
                }
            });
        }
    });


    // Написать нам
    editor.addButton('myButtonScribeUs', {
        text: 'Написать нам',
        icon: false,
        onclick: function () { 
            editor.insertContent('<button type="button" class="btn btn-dark btn-middle" data-toggle="modal" data-target="#write-us" data-tab="0">Написать нам</button>'); 
        }
    });

});

Как это выглядит по итогу

У меня именно и только такое ощущение, что проблема в хостинге. Ни на каких других данная проблема не проявилась.
У timeweb появилась функция изоляции сайта, не знаю как давно, обнаружил ее недавно. по умолчанию она выключена, может включенная она поможет, если заражение пришло от соседских аккаунтов.

Ни у кого не возникло ощущение, что проблема в самом timeweb?
Читаю комменты выше и вижу что все хостятся на таймвебе. У нас тоже около 30 сайтов на таймвебе, около 30 у других хостеров. Проболемы возникают пока только на тех, кто на таймвебе.
Есть среди пострадавших те, у кого иной хостинг?
Кто то уже проводил анализ своего сайта на предмет, как именно сайт становится источником заражения? (потому что я пока тупо не успеваю, очень долго в переписке прощу, чтобы хостинг вернул доступ к директории нашего пользователя, они пишут что вернули, я вхожу по ssh но через считанные секунды мне хостинг снова меняет права на мою директорию и я снова не могу даже скачать якобы зараженные файлы сайта. И так по кругу).

Это даст кратковременный результат, от пары минут, до пары недель.

Сайт написан на WP. Отношение к MODX не имеет. Пользователь просто аккуратно расставляет ссылки для SEO.

Такая же проблема. Таймвеб заблокировал сайты по превышению нагрузки на процессор.
В качестве рекомендаций получены следующие инструкции.
Может кому-то пригодятся, сам пока не вникал

В первую очередь рекомендуем проверить следующие директории, так как очень часто подозрительные процессы запускаются именно из них:
~/.config/session/config/logs/php-fpm/model/observer/
~/.local/session/config/logs/php-fpm/model/observer/
~/.gnupg/session/config/logs/php-fpm/model/observer/
~/.gnupg/php-fpm/session/mods/logs/config/observer/
~/.gnupg/config/mods/logs/session/php-fpm/observer/
~/.config/htop/defunct.dat
~/.config/htop/defunct
Если директории из списка выше существуют, рекомендую по возможности их удалить.
Дополнительно прошу удалить файл ~/.profile

Также вижу, после разблокировки на аккаунте запустились следующие подозрительные процессы:

[slub_flushwq] 

Поэтому рекомендую подключиться к консоли аккаунта и выполнить команду:
killall -9 -u $(whoami)
Которая завершит все пользовательские процессы, включая вредоносные.

Ответ ТП:
Наши инженеры уже в курсе проблемы и собрали достаточно информации по майнеру. Паттерны выявили и сейчас ищем оптимальное решение.

А да, похожие файлы встречался у меня и в pdotools и в других модулях (У меня задено много сайтов на разных аккаунтах, поэтому могу сравнить)

Забавно, вирусы, которые убирают конкурентов.

Мне кажется надо вот эти модули прошерстить, оставить методом исключения парочку, потом удалить эти модули на зараженных сайтах и посмотреть будет ли возникать повторы.

Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit

Сервисы по защите от скликивания
clickfraud.ru/
botfaqtor.ru/

Так же советую использовать elama.ru (это не реклама, как и всё остальное) там можно защитой от скликивания пользоваться бесплатно, плюс ещё зарабатывать процент от рекламы заказчика

У меня сейчас больше подозрений (я не безопасник) на mSearch2 был найдет вот такой файл \components\msearch2\cache.php при этом у других компонентов ничего не было, прелогаю что написал о файле chatgpt

>>>Были еще файлы, которые как я понял отправлял консольный запрос сервер
Что за файлы?

он запрос порезанный прислал, там доступы от БД отправляются, т.е вирус уже знает данные для входа.

Были еще файлы, которые как я понял отправлял консольный запрос сервер, как мне кажется для запуска systemd, который уже циклично в течение 10 секунд проверял активирован ли майнер и если нет, то запускал его.

Но я нифига не безопатсник — это мои догадки