Вирусы на старых версиях MODX Revo

Всем привет!
Не знаю, можно ли здесь создавать темы подобного плана…

В общем, у нас веб-студия. Делаем сайты на MODX. После создания сайта, они остаются у нас на сервере.
Сегодня получили жалобу: с айфона и айпада, сайт загружается нормально, но при клике на любую ссылку идет переход в Apple Store на приложение AviaSales.
Если заходить с Андроида (телефон/планшет) зараженный сайт предлагает «обновить браузер».
Запуск антивируса на сервере — нужных вирусов не нашел…

После анализа зараженных сайтов выяснилось, что вирусы закрались только на сайты MODX версий 2.2.5-2.2.7. На более новых — вирусов нет.

Помог апрегрей сайтов до последней версии MODX 2.2.14. После обновления сайты стали работать нормально.

P.S. Раньше вирусней заражались, в основном, сайты на Джумле.
P.S.S. Этот пост пишу в качестве совета — не ленитесь обновлять MODX.
Олег Сергеевич
26 мая 2014, 21:53
modx.pro
1
3 826
+2

Комментарии: 12

Василий Столейков
27 мая 2014, 07:12
+1
Полезные советы для таких случаев: help.yandex.ru/webmaster/security/cure.xml
    Константин Кононов
    27 мая 2014, 08:03
    0
    Спасибо за информацию! Приняли к сведению!
      Василий Наумкин
      27 мая 2014, 08:57
      +1
      Небольшой спойлер =)
      Марк Валерич
      27 мая 2014, 12:06
      0
      А у Ваших сайтов, случайно, не демисгруп продвиженцы? точнее у ваших клиентов?? А ТО ЕСТЬ подозрение, что они вредительствуют.
      Александр Москвин
      27 мая 2014, 16:35
      0
      .htaccess проверь, частенько замечаю атаки на этот файл.
      Поставь оригинал от modx, если не делал изменений.
        Олег Сергеевич
        27 мая 2014, 23:13
        0
        Проверил старые .htaccess — чистые.
        Да и при обновлении, я не перезаписывал .htaccess
          Александр Москвин
          28 мая 2014, 02:03
          0
          ссылку на сайт дай. Тогда смотри iframe вставки в коде страницы.
        Игорь Терентьев
        28 мая 2014, 12:34
        +1
        Такая же фигня была… Вирус прописывал «инклуды» в .js файлы. Что-то типа:
        <-- js-tools -->
        http://bla-bla-bla.com/file.js
        <-- /js-tools -->
        Избавился от этой заразы с помощью AI-Bolit: revisium.com/ai/
          Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
          12