Сайты долгое время подвергались размещению разного рода рассыльщиков спама. Все это чистил обновлял системы. Вчера появилось что-то новое — после загрузки такого файла сайты на аккаунте работаю некорректно.

Ко мне тоже много кто обратился :(( замучалась чистить.

В последние несколько дней с проблемой взлома и хакерской активностью к нам обращались достаточно много владельцев сайтов на CMS MODX Evolution. В результате анализа журналов веб-сервера нескольких десятков взломанных сайтов, размещенных на различных хостингах, была выявлена массовая атака, которая была проведена 1-2 июня с сервера, имеющего румынский IP адрес 188.208.33.18.

revisium.com/ru/blog/modx_mass_infection.html

Я давно здесь небыл и может быть запощу баян, но все-таки.
revisium.com/ru/blog/modx_mass_infection.html
Новость о массовом взломе модх ево, подробности по ссылке.

Недавно пришло уведомление от хостинга о подозрительном файле.
Файл находится в папке assets и называется b5v5la.php

Поковырял этот файлик, все закодировано в base64 + строка упакована (gzinflate)

У вируса так же есть «админка» благо пароль зашифрован в md5 и находится в этом же файле. Поковырял в «админке» вируса, вир оказался полноценным шеллом с кучей возможностей. =)))

Помогите найти дыру в MODx что бы не лезли всякие вирусы на сайт

Версия MODx EVO 1.1b-d7.0.16

сообственно говоря сажб, как такое реализовать?

Навеяно jSecure и последними попытками доступа к админке со стороны…

Тип: плагин
Название: MODxSecure
Описание: 1.0 Secure MODX manager login
Код плагина:

if (!isset ($keyword) || empty($keyword)) return;
if (!isset ($redirect) || empty($redirect)) $redirect='/';
$e = &$modx->Event;
if ($e->name == "OnManagerLoginFormPrerender" && !isset($_GET[$keyword])) $this->sendRedirect($redirect);
return;

Конфигурация плагина:

&keyword=Keyword;string;secure &redirect=Redirect URL;string;/

Системные события: OnManagerLoginFormPrerender

Что делает плагин:
Доступ к админке (авторизация) возможен только при указании ключевого слова.
Например: сайт/manager?secure
В противном случае идет редирект на указанный в настройках плагина URL (по умолчанию '/')
Ключевое слово также указывается в настройках плагина (по умолчанию 'secure')

Думаю, многие следят за статьями на Хабрахабре, но если кто-то упустил, рекомендую почитать и на всякий случай обновить пароли, даже если не нашли себя в этом списке.

ТОП 200 самых популярных паролей.

Читать дальше →

Всех приветствую!
Пару дней назад получил от хостера одного из сайтов сообщение о подозрительном файле, расположенном по адресу http/manager/media/browser/mcpuk/982952393.php.
Сегодня руки дошли взглянуть, что за файл и как оказалось, создан он был 06.08.2014, NOD32 при закачке определяет его как PHP/Agent.NDW и в логах MODx никаких действий на эту дату не приходится, т.е. залит он был вероятнее всего в обход админки.

Поглядев на просторах Интернета, наткнулся на данный топик. А именно это сообщение:

Если залит шелл, то врядли что-то поможет, как вариант: не так давно была замечена уязвимость (не так давно — это примерно 1 января 2013 года), которая позволяла загружать все что угодно на сервер через mcpuk, т. е. через стандартный файловый браузер. В последних версиях modx файловый браузер либо пофиксили, либо заменили (я точно не в курсе). Так вот, нужно аккуратно переустановить проект, и заменить стандартный mcpuk на альтернативный (пример, community.modx-cms.ru/blog/tips_and_tricks/8890.html). Аккуратно — значит создать новую директорию, загрузить в нее чистый modx, меняем конфигурацию config.inc.php, где указываем базу проекта, логин, пароль, затем переходим по ссылке mysite.com/install/ и восстанавливаем проект. Догружаем все необходимые плагины, модули, изображения и т. д., предварительно проверяя то, что мы загружаем. Вообщем, нужно сделать проект таким, каким он был до инцидента… Потом меняем mcpuk и вуаля… Все работает — дыры нет… С правами я бы не советовал заморачиваться, хотя если руки прямые то можно конечно...

В общем, всем кто держит сайт на старых сборках MODx EVO (1.0.5) только с обновлениями безопасности на Forgot Manager Login стоит задуматься и о дыре в mcpuk.

PS: сейчас совсем не имею свободного времени, а когда оно появиться, обязательно препарирую этот файлик.

В продолжение темы, снова поймал вражину. Может почистился плохо, может новая напасть нагрянула.

Спасибо предупреждению MODX об изменении системных файлов. Изменен был .htaccess, в нем появилась запись

RewriteCond %{REQUEST_URI} ^\/imgs*
RewriteRule ^(.*)$ /assets/config.php [L]

Читать дальше →

Собственно, на одном из хостингов оказались заражены все сайты, около 10 штук. Сайты давнишние и малопосещаемые, версии от 1.0.5 до 1.0.13, все никак руки не доходили обновиться. Никаких тревожных симптомов не наблюдал, все сайты работали, потому взгляд зацепился случайно. В корне каждого сайта обнаружился файлик host.php с таким содержимым:

Читать дальше →