На сайте обнаружилась проблема, сначала пришло письмо с предупреждением:
"Мы заметили подозрительную сетевую активность на вашем сервере, и были вынуждены наложить следующие ограничения:
На исходящий трафик TCP на порты 22 — 22
На исходящий трафик TCP на порты 1 — 65535"

Далее сайт заблокировали, после восстановления через ТП, нагрузка на сервер была в 400% и было сделано следующее:

"На сервере был запущен вирусный процесс, который и создавал нагрузку:

top – 10:31:37 up 37 min, 1 user, load average: 4.94, 4.48, 3.91
Tasks: 149 total, 3 running, 146 sleeping, 0 stopped, 0 zombie
%Cpu(s): 97.0 us, 1.3 sy, 1.6 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
KiB Mem : 3879268 total, 116328 free, 3237692 used, 525248 buff/cache
KiB Swap: 0 total, 0 free, 0 used. 312284 avail Mem

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
8400 bitrix 20 0 2441260 2.3g 4 S 387.7 62.0 140:05.36 kswapd0
Также были активны cron-задания на постоянный перезапуск вирусного процесса:

# crontab -u bitrix -l
1 1 */2 * * /home/bitrix/.configrc4/a/upd>/dev/null 2>&1
@reboot /home/bitrix/.configrc4/a/upd>/dev/null 2>&1
5 8 * * 0 /home/bitrix/.configrc4/b/sync>/dev/null 2>&1
@reboot /home/bitrix/.configrc4/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.a/.rsync/c/aptitude>/dev/null 2>&1
В данный момент завершил сам процесс и удалил задания на его перезапуск вместе с директориями, указанными в заданиях. После этого нагрузка снизилась."

Необходимо провести аудит безопасности сервера и сайта на предмет наличия вирусов и уязвимостей, через которые вирус смог попасть на сервер.

Пишите если понимаете как решить проблему, сразу пищите стоимость и сроки выполнения.