ACE, completions.php и вредоносный код

На днях я обнаружил на двух своих проектах вредоносный файл с php кодом, который был загружен в assets.
Посмотрел дату и время когда это произошло и в журнале сайта в админке отследил действия за это время.
Я обнаружил одну крайне занимательную запись в журнале.
Буквально за 5 минут до того, как вредоносный файл был размещен в директории assets кто-то правил файл компонента ACE
Конкретно вот этот файл.
assets/components/ace/completions.php
Это произошло на обоих сайтах и буквально через 5 минут на обоих сайтах возник файл с вирусом.
Но что самое интересное, визуально я не вижу, чтобы в файле assets/components/ace/completions.php что-то изменилось.
И да, я понимаю, что вы вполне логично скажете, что если у злоумышленника был доступ в админку, то он легко мог разместить вредоносный код через нее и будете правы.
Однако, очень странно, что этот нехороший человек на обоих сайтах зачем-то правил файл
assets/components/ace/completions.php

Будут какие-то идеи?
Спасибо.
Александр Мельник
15 мая 2019, 15:15
63
0

Комментарии: 5

Наумов Алексей
15 мая 2019, 15:29
0
Точно в файле ничего лишнего не появилось?
Стоит сравнить побайтово!
    Александр Мельник
    15 мая 2019, 15:31
    0
    сравнил лишь визуально, спасибо за совет
    Александр Мельник
    15 мая 2019, 17:00
    0
    сравнил файл с зараженного сайта и нет — они идентичны даже побайтово.
    Очень странно. Даже если предположить, что кто-то внес изменения, воспользовался ими, а потом удалил, то в журнале modx должно быть две записи -resource_update для этого файла.
      Сергей Шлоков
      15 мая 2019, 18:30
      0
      Какая связь между правкой файла completion.php и записью в журнале modx с записью resource_update?
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.