Массовые взломы MODX Revolution c 19.07.2018 по 22.07.2018

C 17.07.2018 числа сайты на modx revolution  начали взламывать, сама уязвимость(CVE-2018-1000207) была описана где то 12 числа. А 19.07.2018  появился публичный эксплоит и началась волна взломов. Ниже пример типового 

Опознать сайт взломанный через эту уязвимость очень просто, взлом происходит всего по 2-3 типовым сценариям. Характерный признак наличие файлов dbs.php и cache.php в корне сайта. Иногда добавляется майнер Монеро(xmr).

Зафиксирован запуск следующего вредоносного процесса:

./annizod -B (pid: 363899, uid/gid: 500/500), cwd: /

На картинке типовая картина на зараженном сайте, в корне. Названия майнеров могут отличатся, это всегда файл без расширения, и если посмотреть в редакторе, виден ELF заголовок.

Иногда сайт заражают пакостью, которую пару лет назад видел на WordPress. Js редирект. Все файлы с расширением .js или содержащие в названии .js содержат следующий код(привожу не полностью, дабы антивиры не ругались), полностью на картинке


Размер файла 431(может отличаться) и поражает как мы видим на картинке не только js файлы, но и *.js.php и другие файлы в названии содержащие .js .

Некоторые антивиры распознают этот вир как JS/Redir — DA , некоторые как JS.inject — NE , JS/Redirector-NKN ,могут быть и другие версии.

Очень часто заражают еще одну папку. /assets/images/  Это уже классика для modx , все php файлы из этой папки можно удалять. Будьте внимательны, если на аккаунте несколько сайтов, с общим файловым доступом, то эта папка может появится и там!!! .  Разумеется вредоносные файлы могут появляться и в других папках, но реже и в меньших количествах.

Как лечить сайт на modx от вируса?

Если у вас есть бекап до 19 июля и вы уверены, что это именно эта уязвимость, то способ лечения простой.
1. удалить все файлы и папки сайта.
2. Восстановить из бекапа до 19 июля.
3. поставить патч.

Патч, ставится в двух файлах, в начало, сразу после открывающего тега <?php .

connectors/system/phpthumb.php

assets/components/gallery/connector.php если есть такой файл

После желательно обновить сайт на Modx Revo до версии 2.6.5, в ней исправлена уязвимость.

Если бекапа нет, то вирус придется искать самому воспользовавшись одной из антивирусных утилит, или можно обратиться в компанию StopVirus для лечения и восстановления функционала сайта