Лечим modx от вируса

Где то с 19 числа сайты на modx revolution  начали взламывать, сама уязвимость(CVE-2018-1000207) была описана где то 12 числа. А 19.07.2018  появился публичный эксплоит и началась волна взломов. Ниже пример типового файла.modx revo virus CVE-2018-1000207

Опознать сайт взломанный через эту уязвимость очень просто, взлом происходит всего по 2-3 типовым сценариям. Характерный признак наличие файлов dbs.php и cache.php в корне сайта. Иногда добавляется майнер Монеро(xmr).

Зафиксирован запуск следующего вредоносного процесса:

./annizod -B (pid: 363899, uid/gid: 500/500), cwd: /

anizod monero xmr miner
На картинке типовая картина на зараженном сайте, в корне. Названия майнеров могут отличатся, это всегда файл без расширения, и если посмотреть в редакторе, виден ELF заголовок.

Иногда сайт заражают пакостью, которую пару лет назад видел на WordPress. Js редирект. Все файлы с расширением .js или содержащие в названии .js содержат следующий код(привожу не полностью, дабы антивиры не ругались), полностью на картинке


Размер файла 431(может отличаться) и поражает как мы видим на картинке не только js файлы, но и *.js.php и другие файлы в названии содержащие .js .
trojan redirect js
Некоторые антивиры распознают этот вир как JS/Redir — DA , некоторые как JS.inject — NE , JS/Redirector-NKN , могут быть и другие версии.

Очень часто заражают еще одну папку. /assets/images/  Это уже классика для modx , все php файлы из этой папки можно удалять. Будьте внимательны, если на аккаунте несколько сайтов, с общим файловым доступом, то эта папка может появится и там!!! .  Разумеется вредоносные файлы могут появляться и в других папках, но реже и в меньших количествах.

Как лечить сайт на modx от вируса?

Если у вас есть бекап до 19 июля и вы уверены, что это именно эта уязвимость, то способ лечения простой.
1. удалить все файлы и папки сайта.
2. Восстановить из бекапа до 19 июля.
3. поставить патч.

Патч, ставится в двух файлах, в начало, сразу после открывающего тега <?php .

connectors/system/phpthumb.php

assets/components/gallery/connector.php если есть такой файл

После желательно обновить сайт на Modx Revo до версии 2.6.5, в ней исправлена уязвимость.

Если бекапа нет, то вирус придется искать самому воспользовавшись одной из антивирусных утилит, например моей fscure .

Если вы не можете справиться сами, вы можете воспользоваться моими услугами по лечению сайтов. Расценки скромные. Вылечу сайт на modx за 800 р.
6 месяцев гарантии на мою работу.

Контакты

fStrange

fstrange.ru

cure@fstrange.ru

You may also like...