MODX Revolution: Масове зараження сайтів
03.08.2018
03.08.2018
Злобні та суворі хакери дісталися до нашої незрівнянної MODX Revo. Повідомлення про масове зараження сайтів почали з'являтися приблизно з 20 липня. Примітно, що оновлення, яке частково закриває використовувані лазівки, з'явилося за вісім днів до цього. Але, ймовірно, розробники не зовсім правильно оцінили масштабність можливих атак і повідомили про дві знайдені та закриті версією 2.6.5 вразливості в стандартному режимі, тобто без зайвого галасу.
Знайдені вразливості
Повідомлення про критичні вразливості в MODX Revolution версій 2.6.4 і нижче з'явилося 11 липня 2018 року. Вразливості давали змогу одним запитом анігілювати (стерти, простіше кажучи) весь сайт або завантажити довільний файл (наприклад, php-скрипт) і віддалено виконувати код (RCE). Також було знайдено вразливість у доповненні Gallery версій 1.7.0 і нижче.
Виправлення 2.6.5 з'явилося практично відразу, вже 12 липня. Трохи пізніше було оновлено до версії 1.7.1 і доповнення Gallery. Пропустивши цю новину, багато хто виявився покараним.
Зараження сайтів
Масові зломи почали відбуватися в районі 20 числа, хоча при уважному розгляді файли зі шкідливим кодом з'явилися трохи раніше. Судячи з інформації в мережі, зламаних сайтів на поточний момент дуже багато. Зараження відбувається точно на повному автоматі, ніяк не вручну. Це справжній конвеєр Генрі Форда, в поганому сенсі, звісно.
Практично всі посилання на сайті замінюються шкідливим скриптом на різні казино, букмекерські контори та інший сумнівний інтернет-мотлох.
Шкідливі файли
Впізнати сайт, зламаний через вразливість CVE-2018-1000207, нескладно, злам відбувається всього за 2-3 типовими сценаріями. Характерна ознака - наявність файлів dbs.php і cache.php у корені сайту. Іноді додається майнер Монеро (xmr). Крім того, може різко зрости навантаження на сайт.
Дуже часто заражають ще одну папку: /assets/images. Всі файли з розширенням .php з цієї папки можна видаляти. Будьте уважні, якщо на акаунті розміщується кілька сайтів, до групи ризику потрапляють ВСІ сайти. Вірус спокійненько так, але швидко перебереться на всі ваші проєкти з одного акаунта.
Є і хороша новина. Бази даних не зачеплені. На поточний момент.
Файли, які слід перевірити насамперед:
/index.php і /manager/index.php.
У верхній частині міститься код, який перенаправляє відвідувача на інший сайт.
Що з цим лихом робити
Якщо вам пощастило пройти повз неприємність, терміново зробіть оновлення до версії 2.6.5. Не забудьте оновити Gallery до версії 1.7.1 (оновлення з'явилося 20 липня). Зробіть бекап сайту і потурбуйтеся про додаткові заходи безпеки: перейменування каталогів core, manager і connectors. Закрити від несанкціонованого доступу службові директорії також настійно рекомендую.
Якщо сайт заражений, проведіть його відновлення їхнього архіву, створеного до 19 липня, і терміново-терміново поновіть сайт до тієї самої 2.6.5. Загалом дивися попередній абзац.
Нема архіву? Печаль. Згадуйте про день бекапа. Недовго згадуйте, сайт все одно треба відновлювати. А ось про js-скрипти краще забути. З них витягнути вціліле представляється неможливим, там відбувається заміна вмісту всього файлу. Якщо скрипти можна завантажити у розробника, не страшно, якщо вони самописні, тоді... Намагайтеся відновити з пам'яті або старих заначок))).
Заражені php-файли (бекдори) можна знайти за датою модифікації (зміни). Зверніть увагу на index.php там, де їх бути не повинно, cache.php, accesson.php, dbs.php.
Але, на мою думку, простіше й надійніше зробити звичайне перевстановлення MODX, зробивши спершу бекап, нехай навіть із вірусною програмою, так, про всяк випадок, і скопіювавши конфігураційні файли:
Дивіться також