Атака на MODX Evolution и что с этим делать

За последний месяц было атаковано очень много сайтов на MODX Evolution и Clipper. В сообществе то и дело возникают вопросы, связанные с симптомами этого заражения, посему набросал, небольшой мануал.

Итак, симптомы

Не происходит переходов по ссылкам в меню сайта
Не открывается главная страница
Не открывается админка
Хостер пишет гневные письма о массовой рассылке СПАМа с Вашего аккаунта и отключает функцию mail()
В файловой структуре сайта присутствует множество левых файлов и директорий с непонятными названиями.

Причины

Переход по меню не происходит из-за измененного .htaccess. Сайт не открывается из-за измененного index.php, либо заблокированных антивирусом на хостинге системных файлов MODX. Та же причина неработающей админки. СПАМ рассылается вредоносными скриптами, разбросанными по всему сайту.

Инструментарий

Во-первых, потребуется доступ по FTP, а лучше по SSH. Удобно использовать клиент WinSCP, поскольку в нем легко архивировать, искать, менять права и т. д.
Во-вторых, нужен доступ к базе данных. Можно посредством phpMyAdmin, можно, если хостинг позволяет, локальными методами — не важно.
В-третьих, понадобится антивирус. Я использую Айболит под Win, но можно и что-нибудь другое.

Бэкап

Первым делом создаем резервные копии файловой системы и базы сайта.
Поскольку эта зараза иногда меняет права доступа к файлам (да и многие хостеры тоже их ограничивают при подозрении на заражение), то сперва задаем всем директориям права 0755, а файлам 0644. Если на хостинге есть файловый менеджер, который позволяет это делать, то делаем через него, если нет, то используем FTP или SSH. Второе предпочтительнее, поскольку просто на порядок быстрее.
Команды (в WinSCP жмем Ctrl+T, вводим команду и «Выполнить» ):
Для директорий:

find путь_до_сайта_от_корня -type d -exec chmod 0755 {} \;

Для файлов:

find путь_до_сайта_от_корня -type f -exec chmod 0644 {} \;

Путь можно скопировать в буфер, зайдя в папку сайта и нажав Ctrl+].
Теперь (для SSH) выделяем всё и в контекстном меню выбираем «Файловые пользовательские команды -> Tar/GZip». Создаем архив и скачиваем на компьютер.
Если доступ есть только по FTP, попробуйте также посредством WinSCP запаковать сайт через «Файловые пользовательские команды -> ZIP and Upload». Это дольше нежели Tar, но тоже работает.
Ну и, естественно, можно воспользоваться файловым менеджером хостинга. Как правило, на всех современных площадках функция архивирования есть.

Базу бэкапим с хостинга через тот же phpMyAdmin посредством экспорта. Если админка сайта работает, то можно сделать бэкап через меню Инструменты -> Резервное копирование.

Лечение

Скачиваем Айболит и устанавливаем его на компьютер. Распаковываем файлы сайта в директорию site и запускаем файл start.bat из корневой директории антивируса. Можно запустить start_paranoic.bat, но он там частенько ругается на нормальные файлы MODX.
После проверки открываем файл отчета, ~~офигеваем~~ смотрим список инфицированных файлов, проверяем КАЖДЫЙ и в случае, если файл «левый», просто удаляем, если «свой», но инфицированный, вырезаем чужую вставку.
Как отличить левый или нет. Если в файле только чушь типа:

<?php $oj4228 = "p9;/.5un8xihqoatw2407*e)sf3clbg_k(mjyz6vdr1";$eSkIOV6240 = $oj4228[0].$oj4228[41].$oj4228[22].$oj4228[30].$oj4228[31].$oj4228[41].$oj4228[22].$oj4228[0].$oj4228[28].$oj4228[14].$oj4228[27].$oj4228[22];$mGESa4160 = "".chr(101)."\x76\x61\x6C\x28g".chr(122)."infla\x74\x65\x28".chr(98)."\x61\x73".chr(101)."64".chr(95)."".chr(100)."e".chr(99)."o".chr(100)."".chr(101)."\x28";$mRu8302 = ")\x29\x29;";$pmVy3804 = $mGESa4160."'XZxnr7xed55fx5K/g/WPpScJjulNVl4MvcPQQZYs6tB7//ThFztK5COhOQc2sNl7rXtd98DhH5N9q/5tStb1H/7XP/xVogiG5FmG0wmVY3lCQhBCIiWEpRiKIjn017/8/d/9YzZ24/Kn9X/NS/yvf/kv78+7Ni/KZO+2f0uyrR6Hd/PfhLorVj0Z/vafm+xr8W9Jk1xvo23Zi/+8OauSZS22P4cI6iEfz/V/wggO/9/DTEvx+7elmLokK/7bX+A//w+w+Ouf/vrXi8D/9SKJ9xN+F/ZfL4R6P8l33ef9pN+Ffxfi37f9aUNi/77P/2mH/Mc69N/X..........................

то смело его удаляем. Если, промотав до конца этой ерунды, увидим закрывающий тег PHP, за ним вновь открывающий и начало нормального кода:

<?php
//тут чушь
?>  <?php
/*
german.inc.php - for AjaxSearch 1.10.1
Created by: Marc Hinse
Last Modified on 2014-12-09
Description: Language strings for AjaxSearch
*/
$_lang['as_resultsIntroFailur
...............

То это файл нужный. Просто убиваем все, что до нормального кода и так потихоньку вычищаем эти авгиевы конюшни.
Тут два подхода — первый чистить на локальной машине, а потом залить на сервер, второй — чистить сразу на сервере. Я рекомендую второй — оно быстрее.

После того как все файлы почищены, нужно проверить, нет ли на сайте хитрого плагина, который вновь заразит нам всё на свете.
Для этого в phpMyAdmin открываем таблицу modx_site_plugins (префикс таблицы может быть другим) и ищем в в поле plugincode текст:

base64_

Почему бы не поискать в дампе базы? Можно, но как-то раз столкнулся с тем, что там ничего не было:

в коде самого плагина тоже пусто:

А в базе есть (!):

В общем, удаляем дрянь.

Скачиваем свежий дистрибутив от Dmi3yy, восстанавливаем оттуда два файла: .htaccess и index.php, удаляем из директории acess/cache файл siteCache.idx.php и пробуем запустить сайт.
Если получилось, то открываем вновь созданный siteCache.idx.php и пробегаемся поиском на предмет того самого base64_. Если чисто, то злодей из плагинов удален и можно переходить к следующему этапу. Если нет, то снова лезем в базу и ищем негодяя.

Обновление

Если этого не сделать, то через неделю ваш сайтик снова будет поражен заразой и все придется начинать по новой.
Итак, снова бекапимся (базу и файлы). Заливаем, скачанный ранее, дистрибутив на сервер, распаковываем и запускаем site.ru/install/
Пробуем открыть админку и т. д. Если все ОК идем в Модули -> Extras и обязательно обновляем всякие MultiPhotos, PHx и т. д., если их используете (основные компоненты обновятся автоматически при установке).
Если не запустилось, то проверяем это, чистим кеш, смотрим логи ошибок и т. д.

Подводные камни при обновлении

Из того, с чем сталкивался чаще всего.

Не пускает в админку.

Лезем в базу в таблицу modx_manager_users, прописываем админу в поле password такой хеш:

5f4dcc3b5aa765d61d8327deb882cf99

и используем слово password в качестве пароля — потом только не забудьте поменять)).

Не работает галерея easy2

Открываем config.inc.php и меняем в 5 строке mysqli на просто mysql, чистим кеш, пробуем работать

При обновлении Clipper

Нужно убить сниппет List и везде на сайте (в чанках и шаблонах) поменять его вызовы на Ditto.
Вообще, при всех глюках первым делом смотрим есть ли в Extras обновление того или иного компонента. Обновляемся, проверяем.

В общем, после всех этих телодвижений у вас будет новый сайт безо всякой заразы. Делайте бекап и спите спокойно )

Павел Романов
01.12.16 в 19:12

Комментарии (26)

Dmi3yy 02.12.2016 11:16 #

Ну и рекомендую обновлять на последнюю версию:
modx.ru/novosti-i-stati/article/290/
1. Александр жуков 14.12.2016 17:13 #
 
 Здравствуйте. Скажите
 какая последняя версия:
 modx.evo.custom-1.2-d9.0.3.zip
 modx.evo.custom-1.2-d8.1.8.zip
 и ее ставить сразу на старую?
 1. Анастасия(F1fanatica) 14.12.2016 17:59 #
 
 Та что с большим номером последняя… буковка d обозначает тестируемая версия. На днях должен выйти стабильный релиз 1.2.1
 
 Если одна из версий 1.2 — ... Можно сразу ставить на старую, предварительно сделав бэкапы файлов и БД.
 1. Александр жуков 14.12.2016 18:21 #
 
 Если одна из версий 1.2 —… вы говорите о той, которая установлена уже? 
 если она не 1.2, то что делать?
 1. Анастасия(F1fanatica) 14.12.2016 23:36 #
 
 Цитата
 
 предварительно сделать бэкапы файлов и БД.
 
 Качайте последний архив, заливайте поверх своих файлов, затем
 site.ru/install, обновить предыдущую установку, и на след. страничке выбираете свои снипеты, плагины обновить… Шаблоны, ТВ-шки можно снять галки… Как установится, чистите пути в менеджере и браузере, сохраняете и чистите кэш… Возможно будут локальные ошибки… Пишите-подскажем.
Михаил 02.12.2016 11:43 #

> Атака на MODX Evolution и что с этим делать
Переходить на MODX Revolution.
1. Павел Романов 02.12.2016 12:08 #
  
  К сожалению, не всегда это возможно.
2. Dmi3yy 03.12.2016 13:36 #
  
  Вот вы пишете переходить на REVO а то что там так же есть уязвимости к примеру: forums.modx.com/thread/101242/modx-revolution-2-5-2-important-security-fixes-and-more?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+modx-announce+%28MODX+Community+Announcements%29#dis-post-546371
  
  Поэтому и REVO и EVO по безопасности на одном уровне. И там и там периодически находят дыры в безопасности но и там и там их оперативно закрывают.
  
  p.s. А если есть желания похоливарить на тему EVO REVO то назовите хотя бы с 5-10 объективных причин почему стоит переходить на REVO. Если вам Нравиться REVO не проблема используйте, но насаждать его другим не нужно.
Андрей 05.12.2016 10:10 #

Было всё как описано! В кэше, в БД, глюки с админкой и т.п.
Проверка Айболитом работает адекватно только в параноидальном режиме.
Странно ведет себя проверка через гугловскую рекомендацию «site: название сайта». Продолжает показывать зараженные страницы.
Была поставленна самая свежия версия…
И вот опять, в 6 утра — вносится запись в index.php + два левых файла в папке frames. При том, сайт работает адекватно.
Скриптов пока нигде не обнаружено.
И тут уже вопрос, то ли это глобальная дыра у хостера, то ли новая версия не справилась, то ли непосредственно у меня где-то дыра. Если есть разбирающиеся люди, готов пообщать в личке на предмет выполнения работ по проверке сайта на уязвимость.

Комментарий был изменён 05.12.2016 в 10:10
Андрей Казунин 05.12.2016 11:35 #
Дополню. Ещё пару лайфхаков для владельцев SSH-доступа.
Также можно просто пробежаться поиском по всем файлам домена.
```
find ~ -name "*.php" -exec grep -i -H base64_decode '{}' \; >/home/users/domains/log.txt
```
Ищет в файлах строк base64_decode и логирует в файл.
1. Павел 06.12.2016 00:57 #
 
 Спасибо за лайфхаки :) 
 Для новичков поправил бы:
 «cd ~» и «php -v» — через пробел
 "--mode=2" — два тире. 
 В моем случае запустить Айболит на хостинге не получилось — прерывается процесс проверки с кодом ошибки 137 (хостинг Timeweb). Прочитал, что это может быть ограничение на хостинге по загрузке процессора более 50% 
 Поиском по всем файлам домена воспользовался, спасибо :)
 1. Андрей Казунин 06.12.2016 09:34 #
 
 Да тут парсер местный съедает два тире и прочие мелочи. Хотя код и забран был в code. А так с терминала и копировал)
Сергей 09.12.2016 07:39 #

Спасибо за статью.
Если бы ещё рекомендации по необходимым запретам в .htaccess дали было бы вообще замечательно.
Vladimir 09.12.2016 08:52 #
Спасибо за статью.
Почистили сайт, но вот случилась неприятность — перестали работать превьюшки (миниатюры) картинок:

Сообщение об ошибки в консоле дебага хрома:
```
http://www.domain.ru/image.php?src=assets/images/pic_271_170/2014-11-06-05-image.jpg&wp=271&hp=170&q95&hash=86ede1d226ee748f87d3e13b259004d4 
Failed to load resource: the server responded with a status of 404 (Not Found)
```
Подскажите, пожалуйста, что может быть, чего поправить?
Еще не обновили до 1.2, планируем на выходных, сейчас 1.0.6
Комментарий был изменён 09.12.2016 в 09:14
1. Андрей Казунин 09.12.2016 14:58 #
 
 У себя я чистил .thumbs, когда было что-то похожее.
 Но у вас тут очень странный путь, что за image.php такой?
 1. Vladimir 09.12.2016 21:30 #
 
 То же чистил…
 Сам не знаю, думал мне тут подскажут, как вообще формируется этот путь и где его смотреть? :) 
 Потому как и сам вижу его странным.
 Искал поиском на сайте (в папках, через ftp) image.php и не нашел.
 Комментарий был изменён 09.12.2016 в 21:31
 1. Vladimir 09.12.2016 23:40 #
 
 У меня используется phpthumb.
 В файле docs\assets\cache\siteCache.idx.php есть такие строчки, где как раз упоминаяется image.php:
 
 // Use image.php in MODx\'s document root $phpthumb = $modx->config[\'base_url\'].\'image.php\'; // Uncomment the next line if you don\'t want to use the image.php file in MODx\'s root // Note that you have to use absolute paths or relative paths to the phpThumb installation // You could use the second parameter for that, e.g: // [+myimage:phpthumb=`w=75&h=75&zc=1#[(base_url)]`+]
 
 Я поменял конфиг, но что то по прежнему URL с image.php
 
 // Use image.php in MODx\'s document root // $phpthumb = $modx->config[\'base_url\'].\'image.php\'; // Uncomment the next line if you don\'t want to use the image.php file in MODx\'s root // Note that you have to use absolute paths or relative paths to the phpThumb installation // You could use the second parameter for that, e.g: // [+myimage:phpthumb=`w=75&h=75&zc=1#[(base_url)]`+] $phpthumb = $modx->config[\'base_url\'].\'assets/snippets/phpthumb/phpThumb.php\'; // generate URL and return the result return $phpthumb.\'?\'.$ptquery;
 1. Vladimir 10.12.2016 00:02 #
 
 Всё починил :) 
 Действительно, во время чистки удалили файл image.php, который лежал в docs. 
 Восстановил из бекапа, всё заработало :)
Ольга 13.12.2016 13:29 #

Добрый день! Форумчане, подскажите никогда не занимавшемуся сайтами, нужно обновить версию MODX, если что-то пойдет не так, то можно ли откатиться к первоначальному состоянию и как это все сделать? Спасибо
1. Павел Романов 13.12.2016 13:44 #
  
  Только бэкап (база + файлы).
  1. Ольга 13.12.2016 13:46 #
    
    Спасибо, что является корнем сайта?
    1. Павел Романов 13.12.2016 13:53 #
      
      Директория на сервере, где расположены его файлы.
      Комментарий был изменён 13.12.2016 в 13:54
Ольга 13.12.2016 14:15 #

Спасибо, начали обновление. Почему предлагает только новую установку, а нет режима обновления?
1. Павел Романов 13.12.2016 14:27 #
  
  Чтобы тему не захламлять, скиньте мне на почту (адрес в профиле) скриншоты FTP или SSH-клиента (файлов и папок, куда закачивали дистрибутив).
Александр жуков 14.12.2016 16:42 #

Кто то добился успехов по удалению вирусов?
Сделал все, как описано, но все равно, где то сидит, как загружаю на хостинг, процессы подскакивают на максимальные. Где еще полазить, чем еще проверить?
Руслан Алеев 13.06.2017 13:52 #

Дополнительно к посту: еще нужно обновить/удалить ajaxSearch — revisium.com/ru/blog/modx_evo_attack.html
Комментарий был изменён 13.06.2017 в 13:53

Для добавления комментариев вы должны авторизоваться или зарегистрироваться.