а может такое быть, что тот же php тянет с зараженного хоста что-то и запускает у себя? bitrix это же учетка для запуска эски
Хз чего там с битриксом, но думаю через пыху тоже может, поч нет. Небось какой нить бэк закинули, который по кнопке с эски срабатывает 😁) поэтому он рандомно и загружается