у меня такая ситуация
на днях гугл выдает «возможен, ваш сайт был взломан»

Сайт взломан и распространяет спам
Вероятно, хакер разместил на Вашем сайте контент, содержащий спам. Чтобы защитить пользователей, в результатах поиска Google страницы Вашего сайта могут быть помечены как взломанные или может отображаться последняя безопасная версия сайта. Подробнее…
Скачать все примеры
Внедрение через URL
Вероятно, эти страницы создал хакер, чтобы распространять спам в результатах поиска.
Подробности
URL страниц с проблемами Время последнего обнаружения
k7.kz/ursosan-legit-without-a-prescription.pdf 02.12.15

вот такие рекламные url выдает
никак не могу найти вирусы в кодах! у меня сайт k7.kz
MODX Revolution 2.2.6-pl (traditional) стоит

если у кого та такие случаи были помогите пожалуйста,

Сайты долгое время подвергались размещению разного рода рассыльщиков спама. Все это чистил обновлял системы. Вчера появилось что-то новое — после загрузки такого файла сайты на аккаунте работаю некорректно.

Ко мне тоже много кто обратился :(( замучалась чистить.

В последние несколько дней с проблемой взлома и хакерской активностью к нам обращались достаточно много владельцев сайтов на CMS MODX Evolution. В результате анализа журналов веб-сервера нескольких десятков взломанных сайтов, размещенных на различных хостингах, была выявлена массовая атака, которая была проведена 1-2 июня с сервера, имеющего румынский IP адрес 188.208.33.18.

revisium.com/ru/blog/modx_mass_infection.html

Я давно здесь небыл и может быть запощу баян, но все-таки.
revisium.com/ru/blog/modx_mass_infection.html
Новость о массовом взломе модх ево, подробности по ссылке.

Недавно пришло уведомление от хостинга о подозрительном файле.
Файл находится в папке assets и называется b5v5la.php

Поковырял этот файлик, все закодировано в base64 + строка упакована (gzinflate)

У вируса так же есть «админка» благо пароль зашифрован в md5 и находится в этом же файле. Поковырял в «админке» вируса, вир оказался полноценным шеллом с кучей возможностей. =)))

Помогите найти дыру в MODx что бы не лезли всякие вирусы на сайт

Версия MODx EVO 1.1b-d7.0.16

сообственно говоря сажб, как такое реализовать?

Навеяно jSecure и последними попытками доступа к админке со стороны…

Тип: плагин
Название: MODxSecure
Описание: 1.0 Secure MODX manager login
Код плагина:

if (!isset ($keyword) || empty($keyword)) return;
if (!isset ($redirect) || empty($redirect)) $redirect='/';
$e = &$modx->Event;
if ($e->name == "OnManagerLoginFormPrerender" && !isset($_GET[$keyword])) $this->sendRedirect($redirect);
return;

Конфигурация плагина:

&keyword=Keyword;string;secure &redirect=Redirect URL;string;/

Системные события: OnManagerLoginFormPrerender

Что делает плагин:
Доступ к админке (авторизация) возможен только при указании ключевого слова.
Например: сайт/manager?secure
В противном случае идет редирект на указанный в настройках плагина URL (по умолчанию '/')
Ключевое слово также указывается в настройках плагина (по умолчанию 'secure')

Думаю, многие следят за статьями на Хабрахабре, но если кто-то упустил, рекомендую почитать и на всякий случай обновить пароли, даже если не нашли себя в этом списке.

ТОП 200 самых популярных паролей.

Читать дальше →

Всех приветствую!
Пару дней назад получил от хостера одного из сайтов сообщение о подозрительном файле, расположенном по адресу http/manager/media/browser/mcpuk/982952393.php.
Сегодня руки дошли взглянуть, что за файл и как оказалось, создан он был 06.08.2014, NOD32 при закачке определяет его как PHP/Agent.NDW и в логах MODx никаких действий на эту дату не приходится, т.е. залит он был вероятнее всего в обход админки.

Поглядев на просторах Интернета, наткнулся на данный топик. А именно это сообщение:

Если залит шелл, то врядли что-то поможет, как вариант: не так давно была замечена уязвимость (не так давно — это примерно 1 января 2013 года), которая позволяла загружать все что угодно на сервер через mcpuk, т. е. через стандартный файловый браузер. В последних версиях modx файловый браузер либо пофиксили, либо заменили (я точно не в курсе). Так вот, нужно аккуратно переустановить проект, и заменить стандартный mcpuk на альтернативный (пример, community.modx-cms.ru/blog/tips_and_tricks/8890.html). Аккуратно — значит создать новую директорию, загрузить в нее чистый modx, меняем конфигурацию config.inc.php, где указываем базу проекта, логин, пароль, затем переходим по ссылке mysite.com/install/ и восстанавливаем проект. Догружаем все необходимые плагины, модули, изображения и т. д., предварительно проверяя то, что мы загружаем. Вообщем, нужно сделать проект таким, каким он был до инцидента… Потом меняем mcpuk и вуаля… Все работает — дыры нет… С правами я бы не советовал заморачиваться, хотя если руки прямые то можно конечно...

В общем, всем кто держит сайт на старых сборках MODx EVO (1.0.5) только с обновлениями безопасности на Forgot Manager Login стоит задуматься и о дыре в mcpuk.

PS: сейчас совсем не имею свободного времени, а когда оно появиться, обязательно препарирую этот файлик.

В продолжение темы, снова поймал вражину. Может почистился плохо, может новая напасть нагрянула.

Спасибо предупреждению MODX об изменении системных файлов. Изменен был .htaccess, в нем появилась запись

RewriteCond %{REQUEST_URI} ^\/imgs*
RewriteRule ^(.*)$ /assets/config.php [L]

Читать дальше →