Трояны на сайтах

Всем добрый день.
Help!!!
17.05.17 на хостинге бегет рухнуло 7 сайтов в 5 аккаунтах. На всех сайтах одно и то же. Версии MODx разные — от 1.1 из коробки и немножко ниже. Визуально проявляется как нерабочее меню (при переключении пунктов меню отображается только главная).
В файловом менеджере в корне сайта выглядит так

как видно из скрина — куча лишних файлов и папок с маскировкой под WP, и куча всяких файлов по внутренним папкам сайта с именами типа css.php, sql.php и пр.
файл .htaccess изменен и выглядит так

файл robots.txt перезаписан из стандартного на
User-agent: *
Disallow:

Два сайта восстановил еще 17-го, один из резервной копии сайта, второй вручную из своего архива. И они оба заразились повторно — один на следующий день, второй — через день.
Снимал один на комп НОД32 нашел трояны.

Базы sql вроде все живые.

Хостинг бегет от всего отказывается, дескать уязвимости сайта.
На других хостингах сайты не пострадали.

Прошу помощи, как не только вылечиться, но и обезопаситься на будущее. Может кто сталкивался с подобным. Или действительно неведомая уязвимость.

22 комментария

avatar
Может кто сталкивался с подобным.
avatar
С учетом что в версии 1.2 были критические обновления по безопастности то нужно обновлять как минимум на версию 1.2.1 В декабре были массовые взломы вот и вы попали. Необходимо обновиться, проверить антивирусом и руками проверить на скрытые клоны плагинов в которых собственно троян и сидит
avatar
спасибо, умом понимаю, но как-то пока не лежит душа к 1.2.1, может есть компромиссный вариант, что позаимствовать для обновления из версии 1.2.1?
Как и где проверить наличие скрытых клонов плагинов?
avatar
ТАм дыры были в Ditto и eForm + часть закрыли через documentPArser переписав eval поэтому без обновления будет сложно.

А чем именно не лежит душа? если темой оформления так это делов на 15 минут перестилять так что б по виду было как раньше)
avatar
За Ditto спасибо, удалю везде, т.к. давно перешел на DL, а он просто висит… с остальным да, сложнее. Но вот у коллеги, который ниже отписался, у него и 1.2.1 тем же заразился((
По новой версии — я еще 1.2 сразу потестил, оказалось все сырым, вот из-за этого наверное такое предубеждение. И не нравится phx, навевает воспоминания об ужасах REVO. Ну и тема… это конечно субъективно, сила привычки, пользуюсь карбоном))
avatar
С парсером все ок исправили, phx выключен по умолчанию.
1.2 была действительно сырая
avatar
Да, коллега, не позавидую, придется повозиться. Все удалять, ставить ядро заново, сниппеты, переносить файлы, картинки, проверять базу через EvoCheck и тд. Но один раз пройдешь через это — будет легче. Еще удалить index-ajax.php или как он там называется, периодически в нем дыры находят и шлак заливают на сайт.
avatar
так не это страшно. Вопрос то в том, что два сайта восстановил, один из них вручную, как Вы и написали, но не помогло — повторное заражение.
Сейчас и остальные 5 восстановил, пока работают. Из 7 сейчас в поломке только один (из повторных), вот и обратился за помощью, чтобы уж наверняка.
avatar
Посмотрите в БД (именно в БД) там бывают копии плагинов и в них вирус а через админку их не видать
avatar
спасибо, посмотрел phpMyAdmin — ничего лишнего в плагинах не оказалось, код тоже сверил с оригиналом, все чисто.
avatar
Неееее мужик, так не пойдет :) БД доверь проверять EvoCheck, ставится из Extras. Глазами там не увидишь потому что имена плагинов те же что и реально существующие, а дубли в админке не видны.
avatar
ок, поставлю — проверю, хотя я дамп и в блокноте открывал…
avatar
ну почему блокнот? ну почему не Sublime или PhpStorm ну привыкайте к прекрасному, зачем себя мучить? :)
avatar
я привык к Notepad ++)) и он мне не кажется мучительным, но за советы спасибо, погляжу на них, вот только с этой проблемой разделаюсь.
avatar
Только новые версии движка и компонентов помогут, ибо дыры латаются, вероятность заражения резко уменьшается. Но бывает что и хостинг дырявый и хостер виноват.
avatar
Такая же беда, сижу как раз чищу, почти все файлы index.html в различных папках заменены на index.php и добавлен новый index.html.bak.bak, ну а в остальном так же как и у paic
Сайты в аккаунте с различной версией, самая свежая 1.2.1-d9.1.0, думаю что возможно взломали старый сайт и далее вирус уже «пошел» по соседям
avatar
+ для поддержки)) у меня такие файлы тоже есть, просто топик не стал сильно раздувать
avatar
Да, 17 мая точно так же взломали несколько сайтов. Скорее всего через AjaxSearch, это единственный сниппет, который присутствовал на тех сайтах, что взломали и отсутствовал на других. Поставил это исправление — больше, как я понимаю, с версии 1.10.1 на него ничего не выходило.
avatar
спасибо, учту
avatar
Судя по описанным симптомам и содержимому файловой системы — это та самая декабрьская зараза к вам прицепилась.
И так же, как и вы, на некоторых сайта ловил эту дрянь по 2-3 раза. Решилось установкой версией 1.2.1, и на всякий случай подменил везде index-ajax.php на свой.
Версия 1.2.1, кстати, весьма неплоха. Я уже привык к ней, порядка 10 сайтов работает на ней без проблем.
avatar
Спасибо, разумеется, буду переходить на 1.2.1, и Дмитрий уже убедил. И деваться некуда, просто пока вдохновения нет, да и среди пострадавших половина — совсем не простые визитки, как подумаю… А еще посмотрю, что будет утром. Предыдущие два повторных заражения произошли по времени ночью в период, когда хостинг делает резервные копии. Навевает на некоторые мысли. Но вижу что и хостинг определенные меры принимает.
avatar
файлы index.html в различных папках заменены на index.php и добавлен новый index.html.bak.bak

Я сталкивался на днях с этим вирусом. Откуда пролез не знаю. Почистил с помощью айболита, потом дочищал через логи. Папку manager перезалил полностью, вирус и туда пролез. В базе он не прописывался. Смотрите логи, ищите POST запрос на php файл с ответом сервера 200.
Лечить только один или два сайта на аккаунте не имеет смысла, заражен один — будут заражены все. Т.е. лечить надо все и тщательно. Оставите заразу хотя бы в одном месте — утром получите все по новой.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.