ModX Revolution — заражение вирусами, взлом, лечение
Из официального источника: тыц.
Коротко
Urgent! Active Attacks on MODX Revolution Sites Below Revolution 2.6.5
On July 16, the members of the MODX team were notified that an example attack script was shared publicly that would enable hackers to modify and use for malicious purposes. Starting on July 18th, 2018, the MODX team began receiving reports that these attacks were compromising MODX Revolution websites.
16 июля члены команды MODX были уведомлены о том, что хакеры нашли уязвимый скрипт, что позволило его использовать для взлома сайтов. Начиная с 18 июля 2018 года команда MODX начала получать сообщения о том, что эти атаки наносили ущерб веб-сайтам на MODX Revolution.
Что по факту
Взлому подвержена версия ModX Revo младше версии 2.6.5 и некоторые плагины.
Вредители после получения доступа к файлам учетной записи на хостинге:
- вносят правки в файл .htaccess;
- добавляют исполняемые PHP файлы с обфусфицированным кодом;
- в некоторых случаях добавляют код в имеющиеся файлы (чаще всего index.php в папке админ-панели);
- размещают и правят JS-файлы (в одном моем случае на сайте были заменены и размещены JS-файлы в количестве более 4000 шт.);
- размещают свои сайты (дорвеи с партнерками или еще чем-то) в подпапках.
Кто-то однозначно к этому процессу подготовился, т.к. это была кратковременная волна с работой сайтов по списку, т.к. за короткое время (буквально за неделю) было попорчено большое количество сайтов (что-то вроде эпидемии).
Если ваш сайт пострадал от внедрения вредоносных файлов, то обращайтесь за помощью.