ACE, completions.php и вредоносный код
На днях я обнаружил на двух своих проектах вредоносный файл с php кодом, который был загружен в assets.
Посмотрел дату и время когда это произошло и в журнале сайта в админке отследил действия за это время.
Я обнаружил одну крайне занимательную запись в журнале.
Буквально за 5 минут до того, как вредоносный файл был размещен в директории assets кто-то правил файл компонента ACE
Конкретно вот этот файл.
assets/components/ace/completions.php
Это произошло на обоих сайтах и буквально через 5 минут на обоих сайтах возник файл с вирусом.
Но что самое интересное, визуально я не вижу, чтобы в файле assets/components/ace/completions.php что-то изменилось.
И да, я понимаю, что вы вполне логично скажете, что если у злоумышленника был доступ в админку, то он легко мог разместить вредоносный код через нее и будете правы.
Однако, очень странно, что этот нехороший человек на обоих сайтах зачем-то правил файл
assets/components/ace/completions.php
Будут какие-то идеи?
Спасибо.
Посмотрел дату и время когда это произошло и в журнале сайта в админке отследил действия за это время.
Я обнаружил одну крайне занимательную запись в журнале.
Буквально за 5 минут до того, как вредоносный файл был размещен в директории assets кто-то правил файл компонента ACE
Конкретно вот этот файл.
assets/components/ace/completions.php
Это произошло на обоих сайтах и буквально через 5 минут на обоих сайтах возник файл с вирусом.
Но что самое интересное, визуально я не вижу, чтобы в файле assets/components/ace/completions.php что-то изменилось.
И да, я понимаю, что вы вполне логично скажете, что если у злоумышленника был доступ в админку, то он легко мог разместить вредоносный код через нее и будете правы.
Однако, очень странно, что этот нехороший человек на обоих сайтах зачем-то правил файл
assets/components/ace/completions.php
Будут какие-то идеи?
Спасибо.
15 мая 2019, 15:15
Комментарии: 6
Странная эта история…
Сегодня я обнаружил что еще на одном проекте внедрен вредоносный код, в файл /assets/components/formit/connector.php
Но что самое интересное и непонятное, просматриваю журнал действий в админке и вижу, что тут снова как и на прошлых проектах кто то делал file_update assets/components/ace/completions.php
Хотя визуально в файл не было ничего добавлено и побайтовое сравнение не показывает никаких результатов.
Однако через 10 минут как кто-то «правил» файл компонента ace возник вредоносный код в файле компонента formit
Сегодня я обнаружил что еще на одном проекте внедрен вредоносный код, в файл /assets/components/formit/connector.php
Но что самое интересное и непонятное, просматриваю журнал действий в админке и вижу, что тут снова как и на прошлых проектах кто то делал file_update assets/components/ace/completions.php
Хотя визуально в файл не было ничего добавлено и побайтовое сравнение не показывает никаких результатов.
Однако через 10 минут как кто-то «правил» файл компонента ace возник вредоносный код в файле компонента formit
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| Ace | 1.9.4-pl от 23.02.2024 | 14 716 |
Вчера в 08:53
если правильно понял то так
{set $rows = json_decode($_modx->resource.constructor_block, true)}
{foreach $r...
20 ноября 2024, 16:25
В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
19 ноября 2024, 09:09
Спасибо, тоже очень интерестное решение.