Вирус на MODX Evo

Версия MODX: Evolution

Подскажите, кто знает, пожалуйста.

История такая: сайт на MODX Evo был создан в 2015 году -сайт обычная визитка. Был заброшен в 2016 г. Теперь в 2020 сайт запустил и без обновления cms начал его продвижение)) Недавно вредоносный код попал на сайт и заодно еще на один другой мой сайт который без cms (просто на html). Сам понимаю что вирус попал 99% потому что версия cms MODX с 2015 года, не обновлялась)

Вопрос: если сейчас удалить все файлы с аккаунта на хостинге в том числе базу данных SQL, обновить cms до последней версии Revo и залить все бэкапы назад проявит ли себя вирус на обновленной cms на Revo? Или высока вероятность что на Revo вирус также пройдет через туже уязвимость что и на предыдущей Evo?

P.S: программа ai-bolit пишет результат проверки сайта на вирусы:
building list of shells-153
building list of js-0
building list of unread files-0

Заранее спасибо!

bilievich
23.06.20 в 12:06

Комментарии (23)

Анастасия(F1fanatica) 23.06.2020 13:42 #

Здравствуйте
БД Эво устроена иначе чем БД Рево, разные компоненты, структура файлов
Проще довериться специалисту в чистке вирусов

Напишите мне по адресу: f1fanatic@inbox.ru
Либо в скайпе: evgen28461
Телеграмм +7917 044 35 69
1. bilievich 23.06.2020 13:47 #
  
  Спасибо, но собираюсь делать сам, без специалистов.
  1. Анастасия(F1fanatica) 23.06.2020 13:50 #
    
    Вы же не дали ни ссылок на сайт, ни описали в чем проблема поведения сайта
    Я же не прошу денег
    Только для приватной беседы, подсказок, не засоряя топик здесь, хотите сами — делайте сами
Алексей Либер 24.06.2020 10:58 #

Тот подход что вы описали — не пройдет.
Общий алгоритм: обновляете движок в рамках той ветки что есть. Т.е. если у вас evolution, то обновляете его до Evolution CMS 1.4.11
затем проверяете его повторно айболитом, и удаляете подозрительные файлы.
В базе днных уделите внимание таблице плагинов, проверьте чтобы не было дублей. Они туда любят «прописываться»…
1. bilievich 24.06.2020 12:43 #
  
  Объясните, пожалуйста, почему мой подход не пройдет?)
  1. Алексей Либер 24.06.2020 12:46 #
    
    Потому что Modx Evolution и MODX Revolution — это РАЗНЫЕ системы, пусть и достаточно похожие.
    1. bilievich 24.06.2020 12:53 #
      
      Правильно, поэтому если я обновлю Evo до последней версии то это ничего не изменит, вирус через ту же дыру проявит себя рано или поздно. Так как код в базе уже прописан, и похоже далеко не в одном месте!
      1. Алексей Либер 24.06.2020 13:02 #
        
        Если вы обновите Evolution до последней версии, вы тем самым перезапишите ряд файлов, в которых были уязвимости. Уязвимости не базе, а в файлах.
        А изменить ветку «накатом» революшн сверху не получится, потому что это РАЗНЫЕ системы, с разной структурой файлов, с разной базой, с разными шаблонизаторами и т.д.
        P.S. Если вы сами знаете что и как лучше, то зачем спрашиваете на форуме что и как делать?
        
        bilievich 24.06.2020 13:31 #
        
        Ответил ниже.
        
        bilievich 24.06.2020 13:32 #
        
        Я советуюсь как лучше сделать, для этого и спрашиваю на форуме.
        Основываясь на то что MODx хранит PHP код в базе. Вариант просто обновить Evo до последней даже не рассматривал. Но раз вы говорите что после обновления cms вирус себя не проявит и все будет в порядке, то конечно попробовать стоит. Но это будет скорее 50 на 50.
        Соответственно, раз вы говорите что Revo -это совершенно другая cms в отличии от Evo от сюда следует, что мой изначальный вариант практически 100 процентный, единственно что повозиться с переводом на другую cms придется из за этого намного дольше по времени
        
        Алексей Либер 24.06.2020 13:54 #
        
        любая CMS уязвима. Если информации об уязвимости нет сейчас, это не значит что она не появятся впредь. Возьмите MODX Revolution 2.6.4 — в ней точно также были уязвимости, как и в MODX Evolution 1.2.1 Просто нужно вовремя обновлять.
        Я десятки сайтов лечил методом указанным мной в самом начале и оперативно в последствии обновлял. Рецидивов не было.
        Переписать все на MODX Revolution — действенный вариант. Но это равносильно просто переходу на другую CMS.
        
        Алексей Либер 24.06.2020 13:57 #
        
        P.S. Практически все сниппеты, модули и плагины в стандартном исполнении содержат лишь include(путь к файлу) в базе.
        
        bilievich 24.06.2020 14:21 #
        
        Думаю, что попробую способ который вы рекомендовали с обновлением до последней верии Evo. Спасибо!
        Раз вы часто встречались с различными видами вирусов, и имеете опыт лечении сайтов интересует вопрос: какова вероятность что вирус может попасть на обычный ПК(ОС windows)? Например при работе в уже зараженной CMS, при работе с файлами на хостинге, открытии зараженных сайтов в обычном браузере и т.п.?
        
        Алексей Либер 24.06.2020 14:25 #
        
        нулевая. У серверных и десктопных вирусов разные принципы действия.
        
        Анастасия(F1fanatica) 24.06.2020 14:13 #
        
        1) Поскольку сайт «старый», и скорее всего собран на старых компонентах не забудьте обновить их из Exstras;
        2) Если на этом же аккаунте хостинга есть рядом лежащий
        сайт — проверяйте и его;
        3) Предложение «удалять подозрительные файлы» от Алексея, советую читать в редакции, просмотреть подозрительные файлы на наличие в нем «левого» кода, часто в код нужного файла дописывается кусок шелла;
        4) проверить все папки до корня аккаунта на сервере.
        
        Алексей Либер 24.06.2020 14:29 #
        
        Если сначала обновить систему, то все нужные файлы автоматически будут перезаписаны правильными. Все что остается — то шлак.
        
        Анастасия(F1fanatica) 24.06.2020 14:35 #
        
        Дооо
        Дитто, Евогаллери, Вайфайндеры и др. старые компоненты не входящие в последнюю сборку тоже обновятся :-)
        
        bilievich 24.06.2020 14:40 #
        
        Как узнать какие из оставшихся файлов «шлак» после обновления?)
        К тому же вы думаете шеллы из «шлаковых» файлов не смогут молниеносно «перепрыгнуть» на обновленные файлы до того как я успею удалить, и например залечь на дно на какое-то время?
        
        Анастасия(F1fanatica) 24.06.2020 14:51 #
        
        Есть запускающий файл, его можно найти исследовав логи, обычно запускается 1 раз в день, и преимущественно ночью, если чистку не растягивать на несколько дней, никто никуда не перепрыгнет
        
        Анастасия(F1fanatica) 24.06.2020 15:18 #
        
        «Как узнать какие из оставшихся файлов «шлак» после обновления?»
        
        Есть 2 пути в данной ситуации
        1) Пересобрать сайт на новой версии ядра(версии Эво) — останется процентов 10-15 от заявленного числа шелл файлов, выявить и почистить гораздо меньший объем;
        2) Пойти по пути обновления обычным способом, избавитесь процентов от 25-30 шелл файлов. Остальное руками
        
        bilievich 24.06.2020 14:34 #
        
        Правильно, ведь как я писал выше из результата проверки мною сайта на нем 153 шелла:
        building list of shells-153
        building list of js-0
        building list of unread files-0
        
        Поэтому и назрел вопрос о переходе с Evo на Revo, чтобы не искать такое количество зараженного кода, и заодно закрыть дыру.
        
        Анастасия(F1fanatica) 24.06.2020 14:38 #
        
        Есть более действенный способ быстрого поиска и очистки шеллов, но вы предпочли сами
        
        В первом посте я предложила обратиться к специалисту
        Сутки бы уже имели 2 рабочих сайта
bilievich 24.06.2020 13:13 #

.
Комментарий был изменён 24.06.2020 в 13:32

Для добавления комментариев вы должны авторизоваться или зарегистрироваться.