Заражения продолжаются и после обновления до 2.6.5

Сегодня обнаружил кучу лишних файлов в директории сайта, хотя сайт уже месяц как обновлен до 2.6.5
Александр Мельник
Александр Мельник
04 сентября 2018, 08:05
modx.pro
1 070
0

Комментарии: 10

Евгений Пеньков
Евгений Пеньков
04 сентября 2018, 08:16
0
Галерея(Gallery, не ms2Gallery) на сайте используется? Если да, то обновите ее.
Также есть вероятность, что ваш сайт успели заразить и вы далеко не все вычистили.
    Александр Мельник
    Александр Мельник
    04 сентября 2018, 08:22
    0
    Да, спасибо, я знаю об этом.
    Обновлял и его.
      Антон Тарасов
      Антон Тарасов
      04 сентября 2018, 09:24
      0
      Евгений прав, ищите посторонние/поврежденные файлы везде, где успели заразиться… проверяли ли пакеты распакованные? у меня например так было.
        Евгений Пеньков
        Евгений Пеньков
        04 сентября 2018, 10:23
        0
        Для себя выработал следующий алгоритм чистки сайтов
        Проверяем айболитом. Если на хостинге есть какое-то подобие антивирусов, то и им тоже. По логам ищем зловреда. Вариаций заражений была масса.
        — admin и connectors. Удаляем зараженные файлы и из архива установщика копируем с заменой эти папки.
        — core/packages и assets/components. Я тут делал несколько костыльно. Брал в core/packages удалял все папки и заново распаковывал все архивы. 
        cd core/packages/
rm -r */
unzip \*.zip
        И затем в админке просто переустанавливал все пакеты предварительно почистив assets/components. В моем случае все проходило отлично, но мы стараемся не использовать родные чанки компонентов.
        — весь js, вплоть до lang.js.php. Тут уже все зависит от того, есть ли у вас бэкапы или верстка в системе контроля версий. Для некоторых старых сайтов вообще приходилось из web.archive.org брать js :D
        Ну а всякие майнеры и прочее просто удаляются по логам.
          Александр Мельник
          Александр Мельник
          04 сентября 2018, 11:25
          0
          Спасибо, да примерно так поступаю и я.
          А вот сегодня увидел, что на этом зараженном сайте база данных выросла с 17 мегабайт до 120 мегабайт. Так что похоже чистить нужно не только файлы.
          Буду сегодня устанавливать какие-то средства мониторинга, которые оповещают об изменениях в файлах.
            Евгений Борисов
            Евгений Борисов
            04 сентября 2018, 15:21
            1
            0
            Увы, но айболит не самое лучшее решение. Они анализируют файлы по регулярным выражениям. В итоге точность детекта в лучшем случае 90%. Я предпочитаю ClamAV с базами SecuriteInfo
              Александр Мельник
              Александр Мельник
              05 сентября 2018, 13:21
              0
              Евгений, а поделитесь опытом как Вы работаете с ClamAV?
              Я сегодня скачал его, однако к своему стыду, не смог даже запустить.
              Ни через терминал ни на прямую файлы не запускаются. На сайте инструкции нет.
              Вы на какой операционке его запускаете?
                Евгений Борисов
                Евгений Борисов
                05 сентября 2018, 14:06
                0
                Предпочитаю с CentOS работать, но в случае с ClamAV разницы нет никакой.
                Перед запуском необходимо обновить базы через freshclam (свои базы можно подключить в файле /etc/freshclam.conf). В идеале будет если настроите службу для автоматического обновления баз.

                Протестировать работу можно, например, так
                wget -O /tmp/eicar.com.txt http://www.eicar.org/download/eicar.com.txt
clamscan --recursive /tmp/ --infected --no-summary

                P.S. Возникнут сложности — обращайтесь (контакты в профиле). Помогу настроить.
                Василий Наумкин
                Василий Наумкин
                05 сентября 2018, 14:09
                0
                Со стандартными базами от него пользы точно нет — проверял.

                Попробую с SecuriteInfo на досуге, спасибо!
                  Евгений Борисов
                  Евгений Борисов
                  05 сентября 2018, 14:12
                  3
                  0 
                  DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.ndb
DatabaseCustomURL http://www.rfxn.com/downloads/rfxn.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/junk.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/phish.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/rogue.hdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_filename.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_generic.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/foxhole_js.cdb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/badmacro.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/scam.ndb
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sanesecurity.ftm
DatabaseCustomURL http://ftp.swin.edu.au/sanesecurity/sigwhitelist.ign2
DatabaseCustomURL http://cdn.malware.expert/malware.expert.ndb
DatabaseCustomURL http://cdn.malware.expert/malware.expert.hdb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_cracked_URL.ndb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_malware_URL.ndb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_malware_attach.hdb
DatabaseCustomURL http://clamav.bofhland.org/bofhland_phishing_URL.ndb
                  Туда же
          Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
          10