0.00
67 читателей, 37 топиков

Осенне-зимнее обострение по взлому сайтов



Добрый вечер.

В осенне-зимний период участились взломы сайтов и рассылка с них какого-либо спама. Так у меня самыми распространенными видами активности являются:
  • Создание субдиректорий с огромной кучей статических html страниц. В этом случае трафик обычно заграничный идет на страницы. Последний раз просмотры таких страниц шли из Малайзии.
  • Скрытая рассылка спам-сообщение. Из-за чего хостинг блокирует функцию отправки писем и, соответственно, с сайта не уходят заказы, сообщения обратной связи и т.д.

Пробовал поначалу вычищать файлы вручную. Но если вдруг пропускал какой-либо один вредоносный файл, то сайт снова заполнялся этим гуано.

В последнее время целиком перезаливаю MODX и переношу дамп базы данных и шаблоны, картинки и т.д.

Как вы боретесь с данной напастью? Какие методы защиты применяете? В каком месте обычно пролезает эта гадость? Вообщем поделитесь опытом что и как.


UPDATE_1

Спасибо Дмитрию и его evocheck. Обнаружил в базе данных скрытый плагин TransAlias замаскированный на одноименный плагин. В поле plugincode в базе данных был встроен вредоносный код.

Вот как это выглядит

Взломан сайт на MODX Evo 1.1

Сегодня было обнаружено заражение сайта на базе MODX Evo 1.1
Используя /index-ajax.php, был загружен шел в /assets/files,
затем еще несколько бэкдоров по разным каталогам и в файл /index.php
Файл .htaccess также был переписан.
Последствия были устранены и проведены мероприятия для предотвращения подобной ситуации:
— большинство каталогов стали read-only
— каталоги с возможностью записи приобрели deny access to \.php$
— активирован mod_security с установка запрета file php upload
Это все конечно здорово и в случившемся себя нисколько не оправдываю, но!
До сих пор было известно об уязвимости /index-ajax.php версий MODX Evo 1.0.*
Я что-то пропустил? Или об уязвимости Evo 1.1 (index-ajax.php) еще не известно?
Как то меня это напрягает.
Стараюсь security fixes не пропускать, а тут такая ситуёвина…

Просьба, надеюсь на общее благо.

Мастера плагинов и модулей большая просьба можно ли создать Модуль на основе скрипта ai-bolit, чтоб можно было его установить из репозитария и запускать из админки.
Последнее время злоумышленники просто одолели с размещением вредоносных файлов. И поиск этих файлов по папкам это большая головная боль.
Пожелания: Вроде установка айболита — простая операция, но ресурсов тарифа хостинга на всю проверку сайта не хватает. Появляется ошибка о превышении времени выполнения скрипта. Может это как-то можно учесть при разработке модуля?
Заранее спасибо.
З.Ы. А кто как решает данную проблему?

Плагин и вирусы

Добрый день.

Попадается второй взломанный сайт на modx evo, где есть плагин в базе с кодом шелла, но не отображается в админке этот плагин. Подскажите как так делают.

Заплатка для версий 1.0.12 - 1.2RC1 (1.2-d8.1.5)

Очень рекомендую всем установить данный фикс. Актуально для версии 1.0.12 — 1.2RC1 (1.2-d8.1.5) как офф версии так и сборки.
Устанавливаем через репозиторий в разделе CORE(Security-FIX) или заливаем поверх файлы скачав с GitHub( github.com/extras-evolution/security-fix )

Вы все еще пользуетесь WebloginPE? Тогда школохакеры идут к вам!

Недавно меня попросили настроить и отладить систему авторизации на ModxEvo, на котором, в этом качестве был установлен WebloginPE 1.3.1. Так состоялось наше знакомство и оно, увы, не было приятным.

Читать дальше →

Кешь 404 для каждого несуществующего адреса

Столкнулся со следующей проблемой. Кешь страницы 404, может заполнить все дисковое пространство. Другими словами если инициировать ряд переходов по выдуманным ссылкам, а страница 404 кешируется, в итоге получаем кучу кешь файлов равную количеству переходов. Может данный сбой происходит только у меня, я решил проблему просто перестал кешировать данную страницу. Версия Modx 1.0.15

возможен, сайт был взломан

у меня такая ситуация
на днях гугл выдает «возможен, ваш сайт был взломан»

Сайт взломан и распространяет спам
Вероятно, хакер разместил на Вашем сайте контент, содержащий спам. Чтобы защитить пользователей, в результатах поиска Google страницы Вашего сайта могут быть помечены как взломанные или может отображаться последняя безопасная версия сайта. Подробнее…
Скачать все примеры
Внедрение через URL
Вероятно, эти страницы создал хакер, чтобы распространять спам в результатах поиска.
Подробности
URL страниц с проблемами Время последнего обнаружения
k7.kz/ursosan-legit-without-a-prescription.pdf 02.12.15

вот такие рекламные url выдает
никак не могу найти вирусы в кодах! у меня сайт k7.kz
MODX Revolution 2.2.6-pl (traditional) стоит

если у кого та такие случаи были помогите пожалуйста,

[EVO] После взлома сниппеты перестают работать

Сайты долгое время подвергались размещению разного рода рассыльщиков спама. Все это чистил обновлял системы. Вчера появилось что-то новое — после загрузки такого файла сайты на аккаунте работаю некорректно.

[EVO] Взлом

Ко мне тоже много кто обратился :(( замучалась чистить.

В последние несколько дней с проблемой взлома и хакерской активностью к нам обращались достаточно много владельцев сайтов на CMS MODX Evolution. В результате анализа журналов веб-сервера нескольких десятков взломанных сайтов, размещенных на различных хостингах, была выявлена массовая атака, которая была проведена 1-2 июня с сервера, имеющего румынский IP адрес 188.208.33.18.

revisium.com/ru/blog/modx_mass_infection.html