Fi1osof

Я не собираюсь быть посредником, давать гарантии, отвечать за исполнение, делать возврат средств и решать, кто прав, а кто виноват в неудачных случаях.

Никто не хочет это делать за кого-то. Но дать такой функционал желающим отвечать за себя, как мне видится — вполне правильно.

По твоему ответу вижу, что результаты были и ты доволен. Но та проблема, о которой я говорю, не исчезла. То есть это надо прийти и спросить тебя «А все ли было классно?». А так, чтобы не спрашивая, увидеть результаты, сделать выводы — этого нет.

Может потому и мало, что нет необходимого функционала?

даже тот же патреон можно использовать для этих целей

Василий пробовал. И каков результат? Вот так его страничка сейчас выглядит www.patreon.com/bezumkin/creators
Согласитесь, бедновато.
А я видел, что какие-то суммы там уже ходили. И что на сегодня имеем? Где информация о тех, что денег давал (и получили за это не только спасибо, но и свой след в истории). Где истории расходования средств (что удалось сделать, а чего нет)?

Кстати, хотелось бы на этот счет услышать мнение Василия. Василий, какие впечатления от сотрудничества с патреоном?

С кикстартером и другими картина похожая.

Сегодня буду в роли капитана: не будет.

Так аватарке лет девять уже))

Леонид, Виталий, спасибо большое за мероприятие и приглашение! Все было организованно на высшем уровне! Реально все было очень круто!
И большое спасибо всем пришедшим за позитив!

PP.S. При этом вызывают не через @include, а через require, в результате, если все инклюды не вычистить, возникает критическая ошибка, если удалить файлы вируса.

Еще один подопечный… На этот раз, на вид, процесс взлома тот же, а вот бэкдор залили другой, и не очень типичный. Как оказалось, исполняемый php-код записали в .jpg-файлы. Но так как их инклюдят внутри вызываемых .php-файлов, то код в таких «картинках» выполняется как обычный php со всеми вытекающими…
Пример такого файла (путь, может у вас тоже такое найдется). /js/jplayer/skin/blue.monday/image/jplayer.blue.mondays.jpg
Часть кода:

@ini_set('display_errors', 0);^M
@set_time_limit(3600);^M
define("DOMTXT","/jd1/");^M
define("GETDATE","http://www.datecenter.com/api/?key=");^M
define("CENTERKEY",0);^M
define("MYDIR", "/lt20180813bk-7/");^M
define("FNUM",50);^M
define("JGNUM","132");^M
define("LINKNUM","12");^M
define("BZSITE","z");^M
define("BZPRO","v");^M
//Fnamebg^M
...
$arrfh[]="、";$arrfh[]=" ";$arrfh[]="！";$arrfh[]="……";$arrfh[]="。";$arrfh[]="？";$arrfh[]="；";$arrfh[]="，";^M
// #llqllq#arr_fuhaoend^M
// #llqllq#arr_keybg

$arr_key[]="【2016春夏新作】";
$arr_key[]="【残りわずか】";
$arr_key[]="品質検査済";
$arr_key[]="【コンビニ受取対応商品】";
$arr_key[]="【送料無料】";
$arr_key[]="【希望者のみラッピング無料】";
$arr_key[]="【在庫あり】";
$arr_key[]="【オープニング 大放出セール】";
$arr_key[]="感謝の声続々！";

Судя по всему, в этот раз японцы пожаловали :)

P.S. Судя по всему, установка его прошла через файлы в папке /themesa
Там файлы были:
extenupdates.php
index.php
install.php
moban.html

Надо сразу на сервере настраивать open_basedir, чтобы зараза не проникала за пределы взломанного сайта. Но если уже распространилось на все сайты, то уже как бы поздно…

На всех сайтах, которые мне пришлось подлечить, зараза проникла 19-20 числа. Более ранних не встречал.

Следы сегодняшнего вируса:
1. И во фронте, и в админке, при заходе на страницу фиден овердлей (на всю страницу полупрозрачная ссылка на сайт www. hibids10. com ). Ссылку лучше не кликать, не ясно что там за код, может не только редирект, но и кукисы и данные форм авторизации читает и пересылает.
2. В JS-файлах заменено все содержимое на типа такого:

var _0x2515=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\
........

На моем подопечном таких файлов найдено 4314 штук (то есть все JS-файлы)
3. В корне сайта лежал файл install.php, содержащий в себе $drop_name = 'annizod';
Вот у себя я на зараженный сайт и вышел через процесс, именуемый annizod и отжирающий кучу ресурсов. запущен был от имени www-data, что говорит о эксплоитах на сайт, а не о проникновении на сервер через ssh или типа того.
4. Еще на других сайтах были php-файлы с содержимым типа $_REQUEST['sort'] и далее закодированный eval.

Это было давно и не на столько важно, чтобы я два года об этом думал.

Спасибо за подсказки.

modPhpThumb входит в ядро MODX-а. Может это все-таки его надо фиксить? Я не говорю, что обязательно бага в нем и нет ее в Gallery, но все же есть вероятность. Есть статья, где описан именно этот эксплойт?

Сорри, совсем нет времени. И сильно сомневаюсь, что в Gallery проблема (во всяком случае по этому вирусу), так как на этом же сервере есть сайт с Gallery, но он не сломан. А тот, что сломан, напомню, Gallery нет. Что интересно, на этом не сломанном сайте MODX-2.5.6, так что или на него просто не попали (что вряд ли), или все-таки в 2.5.6 нет этой уязвимости.

У меня зараза прошла явно не через Gallery (там его тупо нет). MODX был 2.5.0, явно в ядре дыра была (публикции были на этот счет в последнее время).

А меня флопс не предупредил. Это я по нагрузке на сайт возросшей понял что явно вирус проник. Если бы не прожорливые процессы, я бы не скоро узнал.

UPD: в базе данных следов деятельности не было замечено. php заражены не все, поэтому обновление MODX-а должно зачистить php-заразу (но только на уровне системных файлов). В корне сайта и в некоторых вложенных папках появляются зараженные php-файлы (бэкдоры). Но JS перетерты вообще все были.
На мой взгляд самый простой вариант восстановления: восстанавливаться из бэкапа (чтобы полностью файлы был восстановлены и новые удалены), и после этого обновить MODX.

Советую всем срочно обновлять MODX до последней версии. Пошла волна заражений. Сегодня поступило уже три заявки. Вирус очень жесткий, заражает и php-файлы, и js. Сразу все до кучи (редиректы, рассылки писем и т.п.). При чем JS-ы содержимое позаменял полностью, так что если у вас не будет бэкапа сайта, то скорее всего вы еге рискуете потерять безвозвратно.

Сергей, все компоненты были сняты с публикации modx.pro/news/12550/

Но этот вроде как не нуждается в оказании поддержки, недавно ставил, все работает (подключал letsads.com/ ).
Выложил пакет в официальный репозиторий, но там еще не опубликовалось. Вот прямая ссылка: modxclub.ru/assets/files/extras/smsgate-1.0.0-beta.transport.zip

Ясно.