-
- 23 Posts
Постараюсь объяснить поподробнее. Не знаю уже, где копать, возможно поможет кто-то.
Некоторое время назад на нескольких modx-сайтах обнаружилось изменение корневого .htaccess. Туда были дописаны несколько строк с определением клиента - если клиент мобильный, то он сливается на какой-то левый сайт. Вычислил по жалобе клиента, его Андроид переадресовывал на какой-то завирусованный сайт.
Версии modx - в основном evo 1.05, но есть и 0.9.6.1p2. Кроме изменения корневого .htaccess других следов "левой" деятельности я не обнаружил. На некоторых сайтах (не уверен, на всех ли зараженных) register_globals был on, поставил off. На некоторых сайтах права на .htaccess были выставлены 755, поставил 644 везде. Пароли ftp и админки поменял.
Запросил хостера, в ftp-логах его нет записей о доступе к .htaccess с каких-то IP-шников, отличных от моих.
Комп свой проверил полностью на всякий случай двумя антивирусами, хотя и так стоит лицензионный постоянно обновляемый KIS, - ничего существенного не нашел. FTP-пароли в FTP-клиентах не сохранял.
Через несколько дней ситуация повторилась - на сайтах опять "левый" .htaccess с дописанными несколькими строками. Но, что интересно, дата изменения .htaccess - 8 июля - это именно тот день, когда я его чистил. И я на 200% уверен, что и 9 июля на сайте лежал чистый .htaccess. И при этом хостер говорит, что с 8 июля по сегодняшний день ftp-доступ имел место быть только с моего IP. Т.е. все выглядит на то, что файл был не отредактирован и записан на сервер, а подменен (иначе откуда взялась его дата "задним числом").
Что еще интересно. На некоторых из хостинг-аккаунтов располагалось несколько сайтов на разных CMS и без оных. Так вот, пострадали только сайты на MODX. Если бы была банальная кража ftp-паролей, то, думаю, пострадали бы все сайты скорее всего. Поэтому мне и кажется, что взлом произошел через MODX.
Кучу всего понаписал. Надеюсь, кото-то сталкивался с подобной ситуацией и сможет помочь.
-
- 23 Posts
Хостер предлагает запретить редактирование .htaccess пользователем, а потом отслеживать попытки его изменения в еррор-логах. Боюсь только, что такая мера будет неэффективной - файл очевидно подменяется целиком, а не редактируется.
[ed. note: siarzhuk last edited this post 11 years, 9 months ago.]
-
- 34 Posts
Если генерация файла произошла 8 июля, а подменили позже? Интересно
А если посмотреть на этот день логи сервера, какие боты посещали сайты? Или при последующем эксперименте.
Если решили проблему, отпишите будет полезно
Valentin Rasulov - Industrial design (Hobbies - Web Development)
Development not standard projects on CMF MODx Revolution.
Small sample of extensions