Массовые взломы MODX Revolution. Как восстановить и обезопасить свой сайт?

Июль, 23rd 2018Рубрика: Безопасность | Web 2838
Подписаться на комментарии по RSS

взлом MODX Revolution

Плохие новости для всех владельцев сайтов на MODX Revolution. Пару дней назад, а именно 20 июля, множество сайтов на этом движке были скомпроментированы злоумышленниками. Неделей ранее были выявлены критические уязвимости в MODX Revolution версии 2.6.4, позволяющие одним запросом стереть весь сайт или загрузить произвольный файл (например php-скрипт) и удаленно выполнять код (RCE). Также найдена уязвимость в дополнении Gallery.

Вроде как в новой версии движка 2.6.5, выпущенной сразу после обнаружения, это уже пофиксили, но расслабляться пока рано. Судя по информации в сети, взломанных сайтов реально очень много, взлом происходит явне не в ручном режиме и похоже поставлен на конвейер. Практически все ссылки на сайте заменяются вредоносным скриптом на различные казино, букмекерские конторы и прочий сомнительный сетевой мусор, короче перенаправляют на всякую шваль...

Как восстановить сайт на MODX Revolution после взлома и обезопасить его?

Лучшим вариантом, безусловно, будет восстановление сайта из бекапа и обновление его до последней версии 2.6.5 и все дополнения. Далее я бы посоветовал проверить все используемые на сайте js-файлы, так как в большинстве случаев они заманены вредоносным кодом.

Если более-менее актуального бэкапа нет, то придётся чистить вручную. В корне сайта, а также некоторых вложенных папках можно легко обнаружить зараженные php-файлы (бэкдоры). Я бы просто переименовал все имеющиеся в корне каталоги и залил последнюю версию движка. После чего скопировал оттуда файлы настроек:

config.core.php
connectors/config.core.php
core/config/config.inc.php
manager/config.core.php

По большому счёту это обычная ручная переустановка движка MODX - тут нет ничего необычного. Если возникают вопросы, можете задавать их к комментариях (правда не уверен что смогу оперативно ответить, так как сейчас в отпуске). К счастью, база данных от действий злоумышленников не страдает (во всяком случае сообщения об этом не встречались).

ОБЯЗАТЕЛЬНО проверяйте все js-файлы на сайте, так как они страдают в первую очередь

В каталоге /assets/images/ так же, с большой вероятностью, можно обнаружить зараженные php-файлы.

После восстановления работоспособности сайта я бы посоветовал на какое-то время убрать права записи с для корневого каталога и файлов в нём, а также каталога с шаблоном сайта и всех js-скриптов. Таким образом на каталогах будут права 0500, а на файлах 0400.

Таким образом, даже при наличии уязвимости, у вредоносного скрипта не будет возможности внести изменения в код сайта и позволит снизить риски до выхода надежных заплаток.

Тут главное не переборщить с запретами, например каталогу /core/cache нужны права на запись, иначе MODX просто не сможет записать и сбросить кеш. Также следует оставить права записи на каталог /assets/components/phpthumbof/cache/, иначе не смогут создаваться превьюшки. , можно будет снизить меры.

Напоследок приведу одну полезную команду для поиска последних модифицированных файлов за 3 дня (хотя в данном случае она бесполезна, так как скрипт изменяет дату создаваемых файлов):

find -type f -mtime -3

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 2

  1. 2018-07-24 в 07:38:38 | Андрей С.

    спасибо, помогло. тоже после обновления закрыл по вашему совету от записи корневую папку и папку с шаблоном. пока ничего больше не прилетало

  2. 2018-07-27 в 00:12:35 | Cheizer

    Пи#дец просто, два сайта легло, js файлы просто стирает под чистую, в php куча хлама подменяет какой то шифр, ну как так то!!!!!!! Разочаровал MODX теперь буду искать другую CMS

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.