<![CDATA[ Взлом modx, изменение .htaccess

<![CDATA[ Взлом modx, изменение .htaccess - My Forums]]> https://forums.modx.com/thread/?thread=77982 <![CDATA[Re: Взлом modx, изменение .htaccess]]> https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430525 Советую прочесть
и
здесь]]> valikras Jul 19, 2012, 11:14 AM https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430525 <![CDATA[Re: Взлом modx, изменение .htaccess]]> https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430271 А если посмотреть на этот день логи сервера, какие боты посещали сайты? Или при последующем эксперименте.
Если решили проблему, отпишите будет полезно]]> shock22 Jul 17, 2012, 01:39 PM https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430271 <![CDATA[Re: Взлом modx, изменение .htaccess]]> https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430089 siarzhuk Jul 16, 2012, 03:43 AM https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430089 <![CDATA[Взлом modx, изменение .htaccess]]> https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430049
Некоторое время назад на нескольких modx-сайтах обнаружилось изменение корневого .htaccess. Туда были дописаны несколько строк с определением клиента - если клиент мобильный, то он сливается на какой-то левый сайт. Вычислил по жалобе клиента, его Андроид переадресовывал на какой-то завирусованный сайт.

Версии modx - в основном evo 1.05, но есть и 0.9.6.1p2. Кроме изменения корневого .htaccess других следов "левой" деятельности я не обнаружил. На некоторых сайтах (не уверен, на всех ли зараженных) register_globals был on, поставил off. На некоторых сайтах права на .htaccess были выставлены 755, поставил 644 везде. Пароли ftp и админки поменял.

Запросил хостера, в ftp-логах его нет записей о доступе к .htaccess с каких-то IP-шников, отличных от моих.

Комп свой проверил полностью на всякий случай двумя антивирусами, хотя и так стоит лицензионный постоянно обновляемый KIS, - ничего существенного не нашел. FTP-пароли в FTP-клиентах не сохранял.

Через несколько дней ситуация повторилась - на сайтах опять "левый" .htaccess с дописанными несколькими строками. Но, что интересно, дата изменения .htaccess - 8 июля - это именно тот день, когда я его чистил. И я на 200% уверен, что и 9 июля на сайте лежал чистый .htaccess. И при этом хостер говорит, что с 8 июля по сегодняшний день ftp-доступ имел место быть только с моего IP. Т.е. все выглядит на то, что файл был не отредактирован и записан на сервер, а подменен (иначе откуда взялась его дата "задним числом").

Что еще интересно. На некоторых из хостинг-аккаунтов располагалось несколько сайтов на разных CMS и без оных. Так вот, пострадали только сайты на MODX. Если бы была банальная кража ftp-паролей, то, думаю, пострадали бы все сайты скорее всего. Поэтому мне и кажется, что взлом произошел через MODX.

Кучу всего понаписал. Надеюсь, кото-то сталкивался с подобной ситуацией и сможет помочь.]]> siarzhuk Jul 15, 2012, 04:43 PM https://forums.modx.com/thread/77982/modx-htaccess#dis-post-430049