0.00
78 читателей, 54 топика

[EVO] Взломали ((

Собственно, на одном из хостингов оказались заражены все сайты, около 10 штук. Сайты давнишние и малопосещаемые, версии от 1.0.5 до 1.0.13, все никак руки не доходили обновиться. Никаких тревожных симптомов не наблюдал, все сайты работали, потому взгляд зацепился случайно. В корне каждого сайта обнаружился файлик host.php с таким содержимым:

Читать дальше →

[EVO] взломан сайт MODX

evo 1.0.13
Ситуация такая — при заходе на сайт редиректит на другой ресурс.
В результате поисков было установлено что изменено содержимое тега
<base href="http://intv-ural.m310sj.ru/">
, в админке этот тег прописан как
<base href="[(site_url)]">

вопросы — как взломали и что было изменено, БД или файлы?
где хранится переменная [(site_url)]?

Взлом сайта и загрузка на сайт WSO Web Shell

Версия modx 2.2.12.
Вот такую проблему подхватил, не знаю где искать защиты. Увидел нового зарегистрированного пользователя, зашел к нему в профиль, а там стоит неограниченные права, и email с некультурным именем в адрес modx. через регистрационный модуль он так сделать не смог, у меня стоит hybridAuth по соц сетям, потому как в таблице компонента записи о новом пользователе нет.
и по журналу увидел что создал он файлик «connectors/security/settings.php», и там собственно и этот WSO Web Shell, файл удалил. пользователя забанил, по логам Апача нашел вот такие запросы.

77.120.108.186 - - [05/Mar/2014:23:15:50 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:50 +0200] "POST /connectors/resource/index.php HTTP/1.0" 200 146 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:50 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:51 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:51 +0200] "POST /connectors/resource/index.php HTTP/1.0" 401 28 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:52 +0200] "POST /connectors/resource/index.php HTTP/1.0" 200 146 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:54 +0200] "POST /connectors/security/login.php HTTP/1.0" 200 163 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:55 +0200] "POST /connectors/security/user.php HTTP/1.0" 200 8327 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:15:56 +0200] "POST /connectors/browser/file.php HTTP/1.0" 200 486 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:21:19 +0200] "POST /connectors/security/login.php HTTP/1.0" 200 163 "-" "-"
77.120.108.186 - - [05/Mar/2014:23:21:20 +0200] "POST /connectors/browser/file.php HTTP/1.0" 200 104 "-" "-"


права на эти файлы стоят 0644
тут вообщем видно что пытался, как то создал юзера и загрузил уже файл,
айпи забанил, но как с этим бороться дальше? писать в баг репорт modx? я просто не знаю куда

[EVO] Взломали сайт ModX Evo! Помогите!

Добрый день всем гуру и начинающим пользователям modx-а, взломали сайт, нужна Ваша помощь.

На сайте стоит evo версии 1.0.10

И уже не первый раз в файле index.php появляется следующий код:

<a href="http://www.isabelmarantonlinemall.com/" target="_blank">Isabel Marant</a>
<a href="http://www.popularisabelmarantsneakers.com/" target="_blank">Isabel Marant Boots</a>
<a href="http://www.popularisabelmarantsneakers.com/" target="_blank">Isabel Marant</a>
<a href="http://www.popularisabelmarantsneakers.com/" target="_blank">Isabel Marant Sneakers</a>


из-за чего сайт становится полностью не работоспособным.
Пароль на фтп — менял.
МодХ обновлял с версии 1.0.6 до версии 1.0.10

Кто сталкивался с подобным?
Кто знает, в чем причина?
Где может быть узвимость?

[EVO] Вставка сторонних ссылок

Заметил на одном сайте Modx Evo внизу страницы вставляется такой блок с ссылками

<style>.hitmlerugent {display:none}</style>
<div class=hitmlerugent>
<font style='display:none;'>
 <a href="http://www.*********.ru">аренда электростанций</a>

</font>
</div>


перерыл всё файлы, пробовал отключать плагины, делать пустой шаблон без кода, всё равно эта вставка остаётся. На сайте использую seo-url если набрать так
/logicroof-v-rp-1-2-mm.html — блок ссылок есть а если просто ID
/12.html — так этого блока нет
/12 — так этого блока нет

может кто сталкивался с такой проблемой или посоветует где поискать и что предпринять.

[REVO] Мифическая уязвимость или не забывайте обновляться

Для начала расскажу предисторию появления данного топика. На днях алексей aka SurRealistik нашел на многих сайтах MODX Revolution подозрительный файл — assets/cache.php, который позволял выполнять любой произвольный php код. По умолчанию такого файла в MODX'е быть не должно, а ковырнув детальней выяснилось — что проблема кроется в уязвимых коннекторах. Если быть точнее, то на сайтах версии 2.2.7 и ниже без патча.

Читать дальше →

[EVO] EvoGellery - Эксплойт!!! рекомендую обновить!!!

Очень нехорошая уязвимость в Uploadify, который в модуле EvoGallery
рекомендую всем обновить файлы модуля: github.com/dmi3yy/EvoGallery

быстрый фикс
удаляем файл: /assets/modules/evogallery/js/uploadify/uploadify.php
в модуле он не используется потому удаление не повлияет на работоспособность

Спасибо pitbull за то что ее нашел

p.s. Очень актуально для пользователей моей Custom сборки так как там EvoGallery идет по умолчанию
p.s.s. Даже если вы не используете EvoGallery то все равно нужно удалить фаил

[EVO] Массовый взлом сайтов modx .

Уважаемые знатоки modx-а, нужен хелп по решению вопроса со взломанным сайтом.
Вот страница на которой нашел левую ссылку:

modx evo 1.0.5
view-source:http://lekasteel.in.ua/rail.html
в самом низу кода:
<div style="position:absolute;left:-2311px;top:-2794px;"><a href="http://nailsmade.com.ua/pokryitie-nogtej-shellakom.html">ногти шеллак</a></div>


Прошел по бекам сайта nailsmade.com.ua, нашел еще не один десяток сайтов на modx с такой же проблемой!

Не понятно как она попала туда, не знаю как и где искать, в шаблоне ничего нет лишнего.