ACE, completions.php и вредоносный код

На днях я обнаружил на двух своих проектах вредоносный файл с php кодом, который был загружен в assets.
Посмотрел дату и время когда это произошло и в журнале сайта в админке отследил действия за это время.
Я обнаружил одну крайне занимательную запись в журнале.
Буквально за 5 минут до того, как вредоносный файл был размещен в директории assets кто-то правил файл компонента ACE
Конкретно вот этот файл.
assets/components/ace/completions.php
Это произошло на обоих сайтах и буквально через 5 минут на обоих сайтах возник файл с вирусом.
Но что самое интересное, визуально я не вижу, чтобы в файле assets/components/ace/completions.php что-то изменилось.
И да, я понимаю, что вы вполне логично скажете, что если у злоумышленника был доступ в админку, то он легко мог разместить вредоносный код через нее и будете правы.
Однако, очень странно, что этот нехороший человек на обоих сайтах зачем-то правил файл
assets/components/ace/completions.php

Будут какие-то идеи?
Спасибо.
Александр Мельник
15 мая 2019, 15:15
modx.pro
568
0

Комментарии: 6

Наумов Алексей
15 мая 2019, 15:29
0
Точно в файле ничего лишнего не появилось?
Стоит сравнить побайтово!
    Александр Мельник
    15 мая 2019, 15:31
    0
    сравнил лишь визуально, спасибо за совет
      Александр Мельник
      15 мая 2019, 17:00
      0
      сравнил файл с зараженного сайта и нет — они идентичны даже побайтово.
      Очень странно. Даже если предположить, что кто-то внес изменения, воспользовался ими, а потом удалил, то в журнале modx должно быть две записи -resource_update для этого файла.
        Сергей Шлоков
        15 мая 2019, 18:30
        0
        Какая связь между правкой файла completion.php и записью в журнале modx с записью resource_update?
    Александр Мельник
    06 июня 2019, 13:01
    0
    Странная эта история…
    Сегодня я обнаружил что еще на одном проекте внедрен вредоносный код, в файл /assets/components/formit/connector.php

    Но что самое интересное и непонятное, просматриваю журнал действий в админке и вижу, что тут снова как и на прошлых проектах кто то делал file_update assets/components/ace/completions.php
    Хотя визуально в файл не было ничего добавлено и побайтовое сравнение не показывает никаких результатов.
    Однако через 10 минут как кто-то «правил» файл компонента ace возник вредоносный код в файле компонента formit
      Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
      6