MODX Revolution: Масове зараження сайтів

03.08.2018

Злобні та суворі хакери дісталися до нашої незрівнянної MODX Revo. Повідомлення про масове зараження сайтів почали з'являтися приблизно з 20 липня. Примітно, що оновлення, яке частково закриває використовувані лазівки, з'явилося за вісім днів до цього. Але, ймовірно, розробники не зовсім правильно оцінили масштабність можливих атак і повідомили про дві знайдені та закриті версією 2.6.5 вразливості в стандартному режимі, тобто без зайвого галасу.


Знайдені вразливості


Повідомлення про критичні вразливості в MODX Revolution версій 2.6.4 і нижче з'явилося 11 липня 2018 року. Вразливості давали змогу одним запитом анігілювати (стерти, простіше кажучи) весь сайт або завантажити довільний файл (наприклад, php-скрипт) і віддалено виконувати код (RCE). Також було знайдено вразливість у доповненні Gallery версій 1.7.0 і нижче.

Виправлення 2.6.5 з'явилося практично відразу, вже 12 липня. Трохи пізніше було оновлено до версії 1.7.1 і доповнення Gallery. Пропустивши цю новину, багато хто виявився покараним.
Зараження сайтів

Масові зломи почали відбуватися в районі 20 числа, хоча при уважному розгляді файли зі шкідливим кодом з'явилися трохи раніше. Судячи з інформації в мережі, зламаних сайтів на поточний момент дуже багато. Зараження відбувається точно на повному автоматі, ніяк не вручну. Це справжній конвеєр Генрі Форда, в поганому сенсі, звісно.

Практично всі посилання на сайті замінюються шкідливим скриптом на різні казино, букмекерські контори та інший сумнівний інтернет-мотлох.

Шкідливі файли

Впізнати сайт, зламаний через вразливість CVE-2018-1000207, нескладно, злам відбувається всього за 2-3 типовими сценаріями. Характерна ознака - наявність файлів dbs.php і cache.php у корені сайту. Іноді додається майнер Монеро (xmr). Крім того, може різко зрости навантаження на сайт.

Дуже часто заражають ще одну папку: /assets/images. Всі файли з розширенням .php з цієї папки можна видаляти. Будьте уважні, якщо на акаунті розміщується кілька сайтів, до групи ризику потрапляють ВСІ сайти. Вірус спокійненько так, але швидко перебереться на всі ваші проєкти з одного акаунта.

Є і хороша новина. Бази даних не зачеплені. На поточний момент.

Файли, які слід перевірити насамперед:

     /index.php і /manager/index.php.

У верхній частині міститься код, який перенаправляє відвідувача на інший сайт.


Що з цим лихом робити


Якщо вам пощастило пройти повз неприємність, терміново зробіть оновлення до версії 2.6.5. Не забудьте оновити Gallery до версії 1.7.1 (оновлення з'явилося 20 липня). Зробіть бекап сайту і потурбуйтеся про додаткові заходи безпеки: перейменування каталогів core, manager і connectors. Закрити від несанкціонованого доступу службові директорії також настійно рекомендую.

Якщо сайт заражений, проведіть його відновлення їхнього архіву, створеного до 19 липня, і терміново-терміново поновіть сайт до тієї самої 2.6.5. Загалом дивися попередній абзац.

Нема архіву? Печаль. Згадуйте про день бекапа. Недовго згадуйте, сайт все одно треба відновлювати. А ось про js-скрипти краще забути. З них витягнути вціліле представляється неможливим, там відбувається заміна вмісту всього файлу. Якщо скрипти можна завантажити у розробника, не страшно, якщо вони самописні, тоді... Намагайтеся відновити з пам'яті або старих заначок))).

Заражені php-файли (бекдори) можна знайти за датою модифікації (зміни). Зверніть увагу на index.php там, де їх бути не повинно, cache.php, accesson.php, dbs.php.

Але, на мою думку, простіше й надійніше зробити звичайне перевстановлення MODX, зробивши спершу бекап, нехай навіть із вірусною програмою, так, про всяк випадок, і скопіювавши конфігураційні файли:

  • config.core.php
  • connectors/config.core.php
  • core/config/config.inc.php
  • manager/config.core.php

    Затем слід видалити всі файли php і заражені файли .js. Завантажити збережені конфіг-файли назад, накатати/оновити MODX, перевстановити наявні компоненти.