MODX Revolution: Масове зараження сайтів

03.08.2018

Злобные и суровые хакеры добрались до нашей несравненной MODX Revo. Сообщения о массовом заражении сайтов начали появляться примерно с 20 июля. Примечательно, что обновление, частично закрывающее используемые лазейки, появилось за восемь дней до этого. Но, вероятно, разработчики не совсем верно оценили масштабность возможных атак и уведомили о двух найденных и закрытых версией 2.6.5 уязвимостях в стандартном режиме, то есть без лишней шумихи.

Найденные уязвимости

Сообщение о критических уязвимостях в MODX Revolution версий 2.6.4 и ниже появилось 11 июля 2018 года. Уязвимости позволяли одним запросом аннигилировать (стереть, проще говоря) весь сайт или загрузить произвольный файл (например php-скрипт) и удаленно выполнять код (RCE). Также была найдена уязвимость в дополнении Gallery версий 1.7.0 и ниже.

Исправление 2.6.5 появилось практически сразу, уже 12 июля. Чуть позже было обновлено до версии 1.7.1 и дополнение Gallery. Пропустив эту новость, многие оказались наказаны.
Заражение сайтов

Массовые взломы начали происходить в районе 20 числа, хотя при внимательном рассмотрении файлы с вредоносным кодом появились чуть раньше. Судя по информации в сети, взломанных сайтов на текущий момент очень много. Заражение происходит точно на полном автомате, никак не вручную. Это настоящий конвейер Генри Форда, в плохом смысле, конечно.

Практически все ссылки на сайте заменяются вредоносным скриптом на различные казино, букмекерские конторы и прочий сомнительный интернет-хлам.

Вредоносные файлы

Опознать сайт взломанный через уязвимость CVE-2018-1000207 несложно, взлом происходит всего по 2-3 типовым сценариям. Характерный признак – наличие файлов dbs.php и cache.php в корне сайта. Иногда добавляется майнер Монеро (xmr). Кроме того, может резко возрасти нагрузка на сайт.

Очень часто заражают еще одну папку: /assets/images.  Все файлы с расширением .php из этой папки можно удалять. Будьте внимательны, если на аккаунте размещается несколько сайтов, в группу риска попадают ВСЕ сайты. Вирус спокойненько так, но быстро переберется на все ваши проекты из одного акка.

Есть и хорошая новость. Базы данных не затронуты. На текущий момент.

Файлы, которые следует проверить в первую очередь:

    /index.php и /manager/index.php.

В верхней части содержится код, который перенаправляет посетителя на другой сайт.

Что с этой бедой делать

Если вам посчастливилось пройти мимо неприятности, срочно произведите обновление до версии 2.6.5. Не забудьте обновить Gallery до версии 1.7.1 (обновление появилось 20 июля). Сделайте бэкап сайта и озаботьтесь дополнительными мерами безопасности: переименованием каталогов core, manager и connectors. Закрыть от несанкционированного доступа служебные директории также настоятельно рекомендую.

Если сайт заражен, проведите его восстановление их архива, созданного до 19 июля и срочно-срочно обновите сайт, до той же 2.6.5. В общем, смотри предыдущий абзац.

Нет архива? Печаль. Вспоминайте про день бэкапа. Недолго вспоминайте, сайт все равно надо восстанавливать. А вот про js-скрипты лучше забыть. Из них вытащить уцелевшее представляется невозможным, там происходит замена содержимого всего файла. Если скрипты можно скачать у разработчика, не страшно, если они самописные, тогда… Пытайтесь восстановить из памяти или старых заначек))).

Зараженные php-файлы (бэкдоры) можно найти по дате модификации (изменения). Обратите внимание на index.php там, где их быть не должно, cache.php, accesson.php, dbs.php.

Но по моему мнению, проще и надежнее сделать обычную переустановку MODX, сделав сначала бэкап, пусть даже с вирусней, так на всякий пожарный, и скопировав конфигурационный файлы:

  • config.core.php
  • connectors/config.core.php
  • core/config/config.inc.php
  • manager/config.core.php

    Затем следует удалить все файлы php и зараженные файлы .js. Загрузить сохраненные конфиг-файлы обратно, накатить/обновить MODX, переустановить имеющиеся компоненты.