Взломали сайт
Здравствуйте.
У меня взломали сайт.
Залили шел (start.php)
Залили какой-то err_class.
prntscr.com/4w2nxg
Все это я могу убрать.
Но на сайте взломщик сейчас размещает ссылки prntscr.com/4w2wdd
sdm-lab.ru/
И как он это делает — вообще непонятно. Как будто какой-то modx plugin срабатывает на событие. Но в плагинах ничего незнакомого не вижу. prntscr.com/4w2x1g
Версия modx-2.2.6.
Да сейчас буду обновляться до последней.
Но можете подсказать, как он это сделал. И где еще искать жучков.
У меня взломали сайт.
Залили шел (start.php)
Залили какой-то err_class.
prntscr.com/4w2nxg
Все это я могу убрать.
Но на сайте взломщик сейчас размещает ссылки prntscr.com/4w2wdd
sdm-lab.ru/
И как он это делает — вообще непонятно. Как будто какой-то modx plugin срабатывает на событие. Но в плагинах ничего незнакомого не вижу. prntscr.com/4w2x1g
Версия modx-2.2.6.
Да сейчас буду обновляться до последней.
Но можете подсказать, как он это сделал. И где еще искать жучков.
14 октября 2014, 13:19
Комментарии: 17
Похоже делали через админку.
Поискал по базе файл start.php.
Нашел в логах (modx_manager_log) — prntscr.com/4w3fnd
Пользователь — какой-то тест. prntscr.com/4w3gzr
Поискал по базе файл start.php.
Нашел в логах (modx_manager_log) — prntscr.com/4w3fnd
Пользователь — какой-то тест. prntscr.com/4w3gzr
смотри index.php в корне, если не помнишь какой должен быть, открой нормальный или посмотри в пакете установки. Или просто замени его чистым, но советую посмотреть, что тебе там поменяли, плюс в assets смотри папка левая должна была появится, в этой папке хранится база и файл php, который ее грузит, я уже точно не помню.
Была дыра в версиях кажись вплоть до 2,2,7 или даже выше, когда была возможность инжекции и получения полного доступа к сайту. Уязвимость была закрыта быстро — обновитесь до актуальных версий. Потом о чем то можно уже говорить будет. Потому то и нельзя жить на старых версиях любых cms, что их дырки известны.
Вот важная информация для админов сайтов — Как защитить MODX Revolution от взлома
Вот еще от себя могу добавить —
Вот еще от себя могу добавить —
Что-то после этих вмешательств самые важные страницы админки и не работают.
Редактирование документов и пользователей.
prntscr.com/4y5cda
PS: Это уже после обновления. До обновления было также.((
Редактирование документов и пользователей.
prntscr.com/4y5cda
PS: Это уже после обновления. До обновления было также.((
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Вчера в 21:12
Спасибо. Работает.
15 ноября 2024, 17:40
спасибо, несколько раз проверял и не заметил)
14 ноября 2024, 13:55
Сложна.
Я сделал с помощью js. Задал class для div c results
и вот так прописал
document.querySelector('.easycomm div').textContent = 'Отзывов пок...
14 ноября 2024, 11:50
Добрый день! Установил MarkdownEditorFrontend с modstore и xpdo выдало ошибку что не может найти сервис. К моему удивлению в транспортном пакете не на...
14 ноября 2024, 05:22
astro.build впервые слышу такой фреймворк. Вообще gtsAPI затачивался под primevue.org. Но в primevue вообще не никакой связи с api. Там api как хочешь...
13 ноября 2024, 10:55
Не все пожелания клиента нужно реализовывать. Одно дело когда желание обосновано бизнес-процессами, а другое дело клиент так видит. В данном случае, н...
13 ноября 2024, 10:28
Файл: core/components/msearch2/phpmorphy/src/fsa/access/fsa_sparse_file.php
Перед строкой 32 добавить:
if(!is_array($word)) {
$word = (a...
12 ноября 2024, 19:52
С ним славу богу все хорошо. Он пошел дальше по карьерной лестнице, оставил MODX позади и сейчас заглядывает к нам только поздороваться.
12 ноября 2024, 18:44
Благодарю!