0.00
76 читателей, 48 топиков

[EVO] взломан сайт MODX

evo 1.0.13
Ситуация такая — при заходе на сайт редиректит на другой ресурс.
В результате поисков было установлено что изменено содержимое тега
<base href="http://intv-ural.m310sj.ru/">
, в админке этот тег прописан как
<base href="[(site_url)]">

вопросы — как взломали и что было изменено, БД или файлы?
где хранится переменная [(site_url)]?

Взлом сайта и загрузка на сайт WSO Web Shell

Версия modx 2.2.12.
Вот такую проблему подхватил, не знаю где искать защиты. Увидел нового зарегистрированного пользователя, зашел к нему в профиль, а там стоит неограниченные права, и email с некультурным именем в адрес modx. через регистрационный модуль он так сделать не смог, у меня стоит hybridAuth по соц сетям, потому как в таблице компонента записи о новом пользователе нет.
и по журналу увидел что создал он файлик «connectors/security/settings.php», и там собственно и этот WSO Web Shell, файл удалил. пользователя забанил, по логам Апача нашел вот такие запросы.

77.120.108.186 - - [05/Mar/2014:23:15:50 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:50 +0200] "POST /connectors/resource/index.php HTTP/1.0" 200 146 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:50 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:51 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:51 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:52 +0200] "POST /connectors/resource/index.php HTTP/1.0" 200 146 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:54 +0200] "POST /connectors/security/login.php HTTP/1.0" 200 163 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:55 +0200] "POST /connectors/security/user.php HTTP/1.0" 200 8327 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:56 +0200] "POST /connectors/browser/file.php HTTP/1.0" 200 486 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:21:19 +0200] "POST /connectors/security/login.php HTTP/1.0" 200 163 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:21:20 +0200] "POST /connectors/browser/file.php HTTP/1.0" 200 104 "-" "-"


права на эти файлы стоят 0644
тут вообщем видно что пытался, как то создал юзера и загрузил уже файл,
айпи забанил, но как с этим бороться дальше? писать в баг репорт modx? я просто не знаю куда

[EVO] Взломали сайт ModX Evo! Помогите!

Добрый день всем гуру и начинающим пользователям modx-а, взломали сайт, нужна Ваша помощь.

На сайте стоит evo версии 1.0.10

И уже не первый раз в файле index.php появляется следующий код:

<a href="http://www.isabelmarantonlinemall.com/" target="_blank">Isabel Marant</a>
<a href="http://www.popularisabelmarantsneakers.com/" target="_blank">Isabel Marant Boots</a>
<a href="http://www.popularisabelmarantsneakers.com/" target="_blank">Isabel Marant</a>
<a href="http://www.popularisabelmarantsneakers.com/" target="_blank">Isabel Marant Sneakers</a>


из-за чего сайт становится полностью не работоспособным.
Пароль на фтп — менял.
МодХ обновлял с версии 1.0.6 до версии 1.0.10

Кто сталкивался с подобным?
Кто знает, в чем причина?
Где может быть узвимость?

[EVO] Вставка сторонних ссылок

Заметил на одном сайте Modx Evo внизу страницы вставляется такой блок с ссылками

<style>.hitmlerugent {display:none}</style>
<div class=hitmlerugent>
<font style='display:none;'>
 <a href="http://www.*********.ru">аренда электростанций</a>

</font>
</div>


перерыл всё файлы, пробовал отключать плагины, делать пустой шаблон без кода, всё равно эта вставка остаётся. На сайте использую seo-url если набрать так
/logicroof-v-rp-1-2-mm.html — блок ссылок есть а если просто ID
/12.html — так этого блока нет
/12 — так этого блока нет

может кто сталкивался с такой проблемой или посоветует где поискать и что предпринять.

[REVO] Мифическая уязвимость или не забывайте обновляться

Для начала расскажу предисторию появления данного топика. На днях алексей aka SurRealistik нашел на многих сайтах MODX Revolution подозрительный файл — assets/cache.php, который позволял выполнять любой произвольный php код. По умолчанию такого файла в MODX'е быть не должно, а ковырнув детальней выяснилось — что проблема кроется в уязвимых коннекторах. Если быть точнее, то на сайтах версии 2.2.7 и ниже без патча.

Читать дальше →

[EVO] EvoGellery - Эксплойт!!! рекомендую обновить!!!

Очень нехорошая уязвимость в Uploadify, который в модуле EvoGallery
рекомендую всем обновить файлы модуля: github.com/dmi3yy/EvoGallery

быстрый фикс
удаляем файл: /assets/modules/evogallery/js/uploadify/uploadify.php
в модуле он не используется потому удаление не повлияет на работоспособность

Спасибо pitbull за то что ее нашел

p.s. Очень актуально для пользователей моей Custom сборки так как там EvoGallery идет по умолчанию
p.s.s. Даже если вы не используете EvoGallery то все равно нужно удалить фаил

[EVO] Массовый взлом сайтов modx .

Уважаемые знатоки modx-а, нужен хелп по решению вопроса со взломанным сайтом.
Вот страница на которой нашел левую ссылку:

modx evo 1.0.5
view-source:http://lekasteel.in.ua/rail.html
в самом низу кода:
<div style="position:absolute;left:-2311px;top:-2794px;"><a href="http://nailsmade.com.ua/pokryitie-nogtej-shellakom.html">ногти шеллак</a></div>


Прошел по бекам сайта nailsmade.com.ua, нашел еще не один десяток сайтов на modx с такой же проблемой!

Не понятно как она попала туда, не знаю как и где искать, в шаблоне ничего нет лишнего.

[EVO] Заражение EVO

Добрый день.

Сегодня на 2х сайтах обнаружил скрытые ссылки. Как бы в самом заражении новости нет. Forgot Manager Login был отключен на обоих сайтах, но видимо взломано было до отключения. И вот сейчас только пущено в дело.

<div style="position:absolute;left:-2311px;top:-2794px;">


В админке стоит посторонний плагин
Quick ManagerManager
<strong>0.3.9</strong> Enables QuickManagerManager+ back end content editing feature


Судя по топику не я первый.

По логам заражение произошло в феврале месяце.

В конфиге плагина строка в которой json + base64 закодированы ссылки и на какие страницы их ставить. Кто то решил массово поторговать ссылками.

Так же создан пользователь support с email support@site.ru.

плагин умеет не только выводить ссылки. По урлу вида
http://site.ru/?modx_sitemap
выдает список страниц сайта, без авторизации.

По урлу вида:
http://site.ru/?modx_hash=0e753f81c253e31b1e754cf0bf551d93

авторизовывает в админку.

По урлу
http://site.ru/?modx_manager
выдает web shell.

Имеет встроенный механизм обновления кода в конфиге, в котором набор ссылок хранится.

по коду похоже плагин может называться как угодно.

mysql_query("UPDATE {$table_prefix}site_plugins SET `properties`=CONCAT(`properties`,'".mysql_real_escape_string($chunk)."') WHERE `name`='Quick ManagerManager' OR (`plugincode` LIKE '%{$mhash}%' AND `plugincode` NOT LIKE '%ForgotManagerPassword%') ");


Проверяйтесь и обновляйтесь кто не обновился.