Новый вирус в MODX?

Всем привет!
Обнаружил сегодня такую ситуацию — яндекс.вебмастер начал ругаться на файл sitemap.xml
Полез смотреть сам файл на сайте и увидел следующую картину:
Браузер открыть его не смог и выдал ошибку:

This page contains the following errors:
error on line 3 at column 78: xmlParseEntityRef: no name
Below is a rendering of the page up to the first error.

Открыл код и увидел следующее:

<urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"><url>
<loc>http://ДОМЕН/6d94usb85361c-c/t_s16515b85361c-c/t_sSwings,+Slides+&+Gymsb85361c-c/t_s4014952399732f013a.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/46bcusb85355c-c/t_s158749b85355c-c/t_sDart+Guns+&+Soft+Dartsb85355c-c/t_s4015120494560df1a3.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/9d51usb85372c-c/t_s145979b85372c-c/t_sInflatable+Bouncersb85372c-c/t_s1324196642701dea11.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/0556usb85392c-c/t_s145944b85392c-c/t_sRide+On+Toys+&+Accessoriesb85392c-c/t_s231998775067d2b432.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/83bfusb85339c-c/t_s11746b85339c-c/t_s1970-Nowb85339c-c/t_s272979950919099bbd.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/4e26usb8537dc-c/t_s16515b8537dc-c/t_sSwings,+Slides+&+Gymsb8537dc-c/t_s192446824014b92938.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/d57busb853adc-c/t_s16515b853adc-c/t_sSwings,+Slides+&+Gymsb853adc-c/t_s40142583927174877c.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/d99ausb8535ac-c/t_s11746b8535ac-c/t_s1970-Nowb8535ac-c/t_s112759183042f37008.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/eb2eusb8538fc-c/t_s11746b8538fc-c/t_s1970-Nowb8538fc-c/t_s2224983468711d05d2.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/98b5usb85307c-c/t_s2569b85307c-c/t_sKitesb85307c-c/t_s173211515532c1d789.tm</loc>
<lastmod>2018-09-04</lastmod>
<changefreq>daily</changefreq>
</url><url>
<loc>http://ДОМЕН/bfc8usb853f4c-c/t_s11746b853f4c-c/t_s1970-Nowb853f4c-c/t_s191948010857476447.tm</loc>

и т.д. Это какие-то левые адреса, которые никак к сайту не относятся, причем по этим адресам выдается ошибка 404.
Если в документе поменять тип с XML на HTML, то выдается нормальная карта с нормальными и существующими урлами.

Карта сайта генерируется через PdoSitemap. У кого какие мысли на этот счет?

Victor

04 сентября 2018, 11:51

1 968

Комментарии: 19

Victor

04 сентября 2018, 12:58

В корне сайта обнаружил такие файлы:
popup-comments.php
utility.php
milemind
ms_23423
и т.д.

Андрей

04 сентября 2018, 13:34

Какая версия modx у вас?

Victor

04 сентября 2018, 13:36

2.6.5
Gallery удален. Сайт был заражен в июле, был откачен до не зараженной версии и обновлен

Вася

04 сентября 2018, 13:50

А еще сайты есть на этом хостинге?

Victor

04 сентября 2018, 14:06

Нету

Андрей

04 сентября 2018, 13:53

Тогда странная ситуация, нужно уже детально смотреть, изучить логи доступа, когда появились файлы, откуда и т.п.

Victor

04 сентября 2018, 14:06

Появились 29 августа

Вася

04 сентября 2018, 14:25

есть шанс что не дочистили и имя хостера не могли бы озвучить

Евгений Борисов

04 сентября 2018, 14:50

timeweb

Victor

04 сентября 2018, 15:01

как вы узнали? )

Евгений Борисов

04 сентября 2018, 15:03

Нашел ваш сайт и проверил кто хостер

Александр Мельник

04 сентября 2018, 15:05

А по каким данным из этого поста, Вы смогли найти сайт????

Евгений Борисов

04 сентября 2018, 15:08

Автор поста предпочел не указывать домен. Поэтому пусть это останется моей тайной;-)

Вася

04 сентября 2018, 15:27

Я напрягаюсь когда вижу такие комментарии: — )

Евгений Борисов

04 сентября 2018, 15:29

Какие?

Вася

04 сентября 2018, 15:38

Ну когда человек много знает о другом, что тот не рассказывал о себе. Сразу понятно, что о твоих сайтах он тоже может много рассказать и возможно не только о сайтах :)

Евгений Борисов

04 сентября 2018, 14:55

Скорее всего был как-то некорректно удален, т.к. до сих пор коннекторы Gallery дергаются. В общем детальней нужно чистку делать проверяя в том числе и закладки через TV параметры

srs

04 сентября 2018, 16:02

Советую посмотреть в index.php, скорее всего там вызывается что-то "$O_000_… = '546'; ...", который подменяет sitename.com/robots.txt, в котором свою очередь матрасы левых ссылок на левые sitemap_n.xml. Так же имеет смысл проверить ".htaccess", нет ли там ничего подозрительного.

Victor

14 сентября 2018, 11:30