On March 26, 2019 we launched new MODX Forums. Please join us at the new MODX Community Forums.
Subscribe: RSS
  • Постараюсь объяснить поподробнее. Не знаю уже, где копать, возможно поможет кто-то.

    Некоторое время назад на нескольких modx-сайтах обнаружилось изменение корневого .htaccess. Туда были дописаны несколько строк с определением клиента - если клиент мобильный, то он сливается на какой-то левый сайт. Вычислил по жалобе клиента, его Андроид переадресовывал на какой-то завирусованный сайт.

    Версии modx - в основном evo 1.05, но есть и 0.9.6.1p2. Кроме изменения корневого .htaccess других следов "левой" деятельности я не обнаружил. На некоторых сайтах (не уверен, на всех ли зараженных) register_globals был on, поставил off. На некоторых сайтах права на .htaccess были выставлены 755, поставил 644 везде. Пароли ftp и админки поменял.

    Запросил хостера, в ftp-логах его нет записей о доступе к .htaccess с каких-то IP-шников, отличных от моих.

    Комп свой проверил полностью на всякий случай двумя антивирусами, хотя и так стоит лицензионный постоянно обновляемый KIS, - ничего существенного не нашел. FTP-пароли в FTP-клиентах не сохранял.

    Через несколько дней ситуация повторилась - на сайтах опять "левый" .htaccess с дописанными несколькими строками. Но, что интересно, дата изменения .htaccess - 8 июля - это именно тот день, когда я его чистил. И я на 200% уверен, что и 9 июля на сайте лежал чистый .htaccess. И при этом хостер говорит, что с 8 июля по сегодняшний день ftp-доступ имел место быть только с моего IP. Т.е. все выглядит на то, что файл был не отредактирован и записан на сервер, а подменен (иначе откуда взялась его дата "задним числом").

    Что еще интересно. На некоторых из хостинг-аккаунтов располагалось несколько сайтов на разных CMS и без оных. Так вот, пострадали только сайты на MODX. Если бы была банальная кража ftp-паролей, то, думаю, пострадали бы все сайты скорее всего. Поэтому мне и кажется, что взлом произошел через MODX.

    Кучу всего понаписал. Надеюсь, кото-то сталкивался с подобной ситуацией и сможет помочь.
    • Хостер предлагает запретить редактирование .htaccess пользователем, а потом отслеживать попытки его изменения в еррор-логах. Боюсь только, что такая мера будет неэффективной - файл очевидно подменяется целиком, а не редактируется. [ed. note: siarzhuk last edited this post 6 years, 10 months ago.]
      • Если генерация файла произошла 8 июля, а подменили позже? Интересно
        А если посмотреть на этот день логи сервера, какие боты посещали сайты? Или при последующем эксперименте.
        Если решили проблему, отпишите будет полезно
          • Valentin Rasulov - Industrial design (Hobbies - Web Development)
            Development not standard projects on CMF MODx Revolution.
            Small sample of extensions