ACE, completions.php и вредоносный код
На днях я обнаружил на двух своих проектах вредоносный файл с php кодом, который был загружен в assets.
Посмотрел дату и время когда это произошло и в журнале сайта в админке отследил действия за это время.
Я обнаружил одну крайне занимательную запись в журнале.
Буквально за 5 минут до того, как вредоносный файл был размещен в директории assets кто-то правил файл компонента ACE
Конкретно вот этот файл.
assets/components/ace/completions.php
Это произошло на обоих сайтах и буквально через 5 минут на обоих сайтах возник файл с вирусом.
Но что самое интересное, визуально я не вижу, чтобы в файле assets/components/ace/completions.php что-то изменилось.
И да, я понимаю, что вы вполне логично скажете, что если у злоумышленника был доступ в админку, то он легко мог разместить вредоносный код через нее и будете правы.
Однако, очень странно, что этот нехороший человек на обоих сайтах зачем-то правил файл
assets/components/ace/completions.php
Будут какие-то идеи?
Спасибо.
Посмотрел дату и время когда это произошло и в журнале сайта в админке отследил действия за это время.
Я обнаружил одну крайне занимательную запись в журнале.
Буквально за 5 минут до того, как вредоносный файл был размещен в директории assets кто-то правил файл компонента ACE
Конкретно вот этот файл.
assets/components/ace/completions.php
Это произошло на обоих сайтах и буквально через 5 минут на обоих сайтах возник файл с вирусом.
Но что самое интересное, визуально я не вижу, чтобы в файле assets/components/ace/completions.php что-то изменилось.
И да, я понимаю, что вы вполне логично скажете, что если у злоумышленника был доступ в админку, то он легко мог разместить вредоносный код через нее и будете правы.
Однако, очень странно, что этот нехороший человек на обоих сайтах зачем-то правил файл
assets/components/ace/completions.php
Будут какие-то идеи?
Спасибо.
Комментарии: 6
Точно в файле ничего лишнего не появилось?
Стоит сравнить побайтово!
Стоит сравнить побайтово!
сравнил лишь визуально, спасибо за совет
сравнил файл с зараженного сайта и нет — они идентичны даже побайтово.
Очень странно. Даже если предположить, что кто-то внес изменения, воспользовался ими, а потом удалил, то в журнале modx должно быть две записи -resource_update для этого файла.
Очень странно. Даже если предположить, что кто-то внес изменения, воспользовался ими, а потом удалил, то в журнале modx должно быть две записи -resource_update для этого файла.
Какая связь между правкой файла completion.php и записью в журнале modx с записью resource_update?
file_update я неверно написал по памяти.
Странная эта история…
Сегодня я обнаружил что еще на одном проекте внедрен вредоносный код, в файл /assets/components/formit/connector.php
Но что самое интересное и непонятное, просматриваю журнал действий в админке и вижу, что тут снова как и на прошлых проектах кто то делал file_update assets/components/ace/completions.php
Хотя визуально в файл не было ничего добавлено и побайтовое сравнение не показывает никаких результатов.
Однако через 10 минут как кто-то «правил» файл компонента ace возник вредоносный код в файле компонента formit
Сегодня я обнаружил что еще на одном проекте внедрен вредоносный код, в файл /assets/components/formit/connector.php
Но что самое интересное и непонятное, просматриваю журнал действий в админке и вижу, что тут снова как и на прошлых проектах кто то делал file_update assets/components/ace/completions.php
Хотя визуально в файл не было ничего добавлено и побайтовое сравнение не показывает никаких результатов.
Однако через 10 минут как кто-то «правил» файл компонента ace возник вредоносный код в файле компонента formit
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.