На днях получил взлом нескольких сайтов на ModX
симптомов практически никаких кроме самих изменений (изменили только подвал).
Может кто сталкивался?

    — доступ к админке ограничен по IP
    — пароли не менее 16 символов
    — логины админов нестандартные.


Изменения не в файлах, а в БД. что весьма странно и указывает на уязвимость в MODX.

если нужна дополнительная информация для помощи, дополню пост.

**UPD**

Обновлены таблицы с юзерами в БД перед тем как вошли.

— nginx version: nginx/1.14.0 (Ubuntu)

— Modx 2.7.3

— php-fpm 5.6

— mysql 5.7

Конечно не все пакеты были обновлены. судя по логам подозрительного ничего не было, но уязвимость точно через веб, потому что по SSH доступа к пользователю от которого работает сайт нет. в логах странных POST и GET обнаружено не было