Всего 125 678 комментариев

perfkirill
perfkirill
13 мая 2025, 12:20
0
Забавно, вирусы, которые убирают конкурентов.

Мне кажется надо вот эти модули прошерстить, оставить методом исключения парочку, потом удалить эти модули на зараженных сайтах и посмотреть будет ли возникать повторы.

Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit
/
Алексей
Алексей
13 мая 2025, 11:43
0
Сервисы по защите от скликивания
clickfraud.ru/
botfaqtor.ru/

Так же советую использовать elama.ru (это не реклама, как и всё остальное) там можно защитой от скликивания пользоваться бесплатно, плюс ещё зарабатывать процент от рекламы заказчика
/
Алексей
Алексей
13 мая 2025, 11:26
0
У меня сейчас больше подозрений (я не безопасник) на mSearch2 был найдет вот такой файл \components\msearch2\cache.php при этом у других компонентов ничего не было, прелогаю что написал о файле chatgpt


/
Alexey
Alexey
13 мая 2025, 09:06
0
>>>Были еще файлы, которые как я понял отправлял консольный запрос сервер
Что за файлы?
/
perfkirill
perfkirill
13 мая 2025, 08:54
0
он запрос порезанный прислал, там доступы от БД отправляются, т.е вирус уже знает данные для входа.

Были еще файлы, которые как я понял отправлял консольный запрос сервер, как мне кажется для запуска systemd, который уже циклично в течение 10 секунд проверял активирован ли майнер и если нет, то запускал его.

Но я нифига не безопатсник — это мои догадки
/
Наумов Алексей
Наумов Алексей
12 мая 2025, 15:46
0
Здесь вроде просто запросы в попытках найти файлы. В том же easyredirects, например, нет action.php, просто 404 ошибка должна быть.

adminer-5.2.1.php — искали файл админера… но вроде бы эти запросы не могут привести к заражению
/
Алексей
Алексей
12 мая 2025, 15:26
0
Как было у меня

May 4 01:51:38 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:51:36 +0300] «POST /ass_7856/components/easyredirects/action.php?username=cv95498_site HTTP/1.0» 302 20 «site.ru/ass_7856/components/easyredirects/action.php?username=cv95498_site» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»

May 4 01:58:41 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:58:41 +0300] «POST /adminer-5.2.1.php HTTP/1.0» 302 20 «site.ru/adminer-5.2.1.php» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»
/
Юрий
Юрий
12 мая 2025, 13:12
0
Спасибо! Надо потестить.
/
Наумов Алексей
Наумов Алексей
12 мая 2025, 13:07
0
В общем сделал я это одним спокойным вечерком, свежий релиз в магазине.
/
Андрей
Андрей
12 мая 2025, 12:08
0
На одном сайте есть, на 3-х нет
/
Alexey
Alexey
12 мая 2025, 12:01
0
Привет! Компонент MinifyX есть на зараженных сайтах?
/
perfkirill
perfkirill
12 мая 2025, 11:06
0
Я напишу что из этого есть у меня на проектах

Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit
/
Alexey
Alexey
12 мая 2025, 11:00
0
Список используемых на сайте компонентов:
Ace 1.9.3-pl
AjaxForm 1.1.9-pl
Comparison 1.2.14-pl
Console 2.2.2-pl
controlErrorLog 1.4.6-pl
FormIt 4.2.7-pl
gTranslit 1.1.5-pl
lmims 0.0.2-beta
MIGX 3.0.0-alpha5
MinifyX 2.0.3-pl
miniShop2 3.0.7-pl
mSearch2 1.14.9-pl
msFavorites 3.0.5-beta
msOptionsPrice2 2.5.22-beta
pdoTools 2.13.2-pl
pThumb 2.3.3-pl
Redirector 2.0.10-pl
Resizer 1.0.2-beta
seotext 1.0.6-beta
inyMCE Rich Text Editor 2.0.9-pl
translit 1.0.0-beta
-------------------------------
/
Alexey
Alexey
12 мая 2025, 10:46
0
Всем привет! Присоединяюсь: хостинг timeweb, вредонос в .local/session/config/logs/php-fpm/model/observer/

MODX 2.8.5, php 7.4
/
Денис
Денис
12 мая 2025, 06:28
0
Если еще кому нужно:
&ajaxMode=`button`
&filterOptions=`{
    "more":".btn--more",
    "more_tpl": "<div class=\"btn__container\"><button class=\"btn btn--stroke btn--more\">Показать ещё</button></div>"
}`
/
Андрей
Андрей
11 мая 2025, 22:06
0
Пока не нашёл общее что-то.
Версии все 2.8.7 и 2.8.8
Хостинг исключительно timeweb.ru
/
Артур Сергеевич
Артур Сергеевич
11 мая 2025, 21:48
1
0
Я опечатался, в assets, только tpl, а core закрыта htaccess (IfModule mod_authz_core.c)
/
DateAgo    7
Наумов Алексей
Наумов Алексей
11 мая 2025, 21:14
0
Никогда не храните код .php или шаблоны .tpl в папке /assets, это прям нельзя.
Такие штуки не должны быть доступны пользователю через http запрос. php код может выполнится, что небезопасно, а код шаблона вообще просто отобразится или файл скачается.

Их нужно хранить или в директории core, которая должна быть закрыта от доступа через правила веб-сервера, или же вообще в идеале выше, чем public каталог.

ну и тогда не нужно парится насчет «Если кто-то попытается обратиться к файлу напрямую»
/
DateAgo    7
Наумов Алексей
Наумов Алексей
11 мая 2025, 20:26
0
Какие компоненты используются на сайтах? Может быть какая-то старая версия чего-то с дыркой?
Должно быть между сайтами что-то общее
/
Алексей Р.
Алексей Р.
11 мая 2025, 18:43
0
смотрите папки и файлы. все не сканировал.
(удалил пока tinymce и ace), обновил modx что бы переписать все системные файлы.
.local
.share
.config
.fmx
/public_html/assets/components/tinymce/action.php
/public_html/assets/components/pdotools/action.php
/public_html/assets/components/ace/emmet/action.php
тут все что удалось найти disk.yandex.ru/d/pqO3KCB-IhXUiw
/