Где то с 19 числа сайты на modx revolution начали взламывать, сама уязвимость(CVE-2018-1000207) была описана где то 12 числа. А 19.07.2018 появился публичный эксплоит и началась волна взломов. Ниже пример типового файла.
Опознать сайт взломанный через эту уязвимость очень просто, взлом происходит всего по 2-3 типовым сценариям. Характерный признак наличие файлов dbs.php и cache.php в корне сайта. Иногда добавляется майнер Монеро(xmr).
Зафиксирован запуск следующего вредоносного процесса:
./annizod -B (pid: 363899, uid/gid: 500/500), cwd: /
На картинке типовая картина на зараженном сайте, в корне. Названия майнеров могут отличатся, это всегда файл без расширения, и если посмотреть в редакторе, виден ELF заголовок.
Иногда сайт заражают пакостью, которую пару лет назад видел на WordPress. Js редирект. Все файлы с расширением .js или содержащие в названии .js содержат следующий код(привожу не полностью, дабы антивиры не ругались), полностью на картинке
1 |
var _0x2515=["","\x6A ... |
Размер файла 431(может отличаться) и поражает как мы видим на картинке не только js файлы, но и *.js.php и другие файлы в названии содержащие .js .
Некоторые антивиры распознают этот вир как JS/Redir — DA , некоторые как JS.inject — NE , JS/Redirector-NKN , могут быть и другие версии.
Очень часто заражают еще одну папку. /assets/images/ Это уже классика для modx , все php файлы из этой папки можно удалять. Будьте внимательны, если на аккаунте несколько сайтов, с общим файловым доступом, то эта папка может появится и там!!! . Разумеется вредоносные файлы могут появляться и в других папках, но реже и в меньших количествах.
Как лечить сайт на modx от вируса?
Если у вас есть бекап до 19 июля и вы уверены, что это именно эта уязвимость, то способ лечения простой.
1. удалить все файлы и папки сайта.
2. Восстановить из бекапа до 19 июля.
3. поставить патч.
Патч, ставится в двух файлах, в начало, сразу после открывающего тега <?php .
connectors/system/phpthumb.php
1 2 |
// fstrange.ru patch CVE-2018-1000207 if(isset($_POST["cache_filename"]) && (stripos($_POST["cache_filename"],".php") || stripos($_POST["cache_filename"],".phtml")) ) die(); |
assets/components/gallery/connector.php если есть такой файл
1 2 |
// fstrange.ru patch2 CVE-2018-1000207 if(isset($_POST["f"]) && (stripos($_POST["f"],"php")!==FALSE || strtolower($_POST["f"])=="phtml") ) die(); |
После желательно обновить сайт на Modx Revo до версии 2.6.5, в ней исправлена уязвимость.
Если бекапа нет, то вирус придется искать самому воспользовавшись одной из антивирусных утилит, например моей fscure .
Если вы не можете справиться сами, вы можете воспользоваться моими услугами по лечению сайтов. Расценки скромные. Вылечу сайт на modx за 800 р.
6 месяцев гарантии на мою работу.
Контакты
Свежие комментарии