Массовый взлом MODx EVO 2016

проблемы хакерского взлома

В ноябре, как показывает статистика, стало больше обращаений людей с проблемой хакерского взлома и чужой активности на сайтах CMS MODX Evolution.
Массовый взлом MODx EVO 2016

В ноябре, как показывает статистика, стало больше обращаений людей с проблемой хакерского взлома и чужой активности на сайтах CMS MODX Evolution.

По результатам внимательного анализа сайтов, обратившихся к нам за помощью, все были созданы на разных хостингах, было обнаружена активность одного и того же Ip адреса зарегистрированного в Румынии. Активность была замечена в период с 1 по 3 июня.

Хакеры, которые взламывали эти сайты, в дальнейшем устанавливали или загружали несколько backdoor в каталоги переименовывая файл в трехбуквенное имя, к примеру abg.php. А после этого, неделю спустя, бывало и больше, возвращались к установленным backdoor в каталоге и делали серию запросов. Все это повторялось со всеми взломанными сайтами, как по одному сценарию.

Очень жаль, но тело запроса никогда не сохраняется в журналах веб – серверов, поэтому становиться невозможной задачей выяснения деталей причин загрузки этого файла и дальнейшие их действия по использованию.

Как узналось далее, все обратившиеся владельцы сайтов пользовались версией MODX Evolution, в которых была незащищенной AjaxSearch 1.10.1., скорее всего этим то они и воспользовались. Написанная программа для взлома(скрипт), начинает применять имена параметров и функций по Cookie на вход.

Создавая свой сайт на виртуальном хостинге и не подключив функцию «изоляции сайтов», этим самым, Вы убираете защиту и разрешаете хакеру получить полный доступ над Вашим сайтом с помощью Backdoor и как бы сами приглашаете взломщика и на другие сайты, созданные на этом же аккаунте. Получив доступ, они могут делать все что угодно. Переименовывать файлы, загружать любую информацию, копировать и удалять файлы, и прочитать всю информацию из базы данных сайта. И это не весь список!

Советуем, всем кто имеет свой сайт проводить регулярную проверку на наличие хакерских атак и вредоносных программ. Сделать это можно через несколько программ или в ручную, поискав файлы с непонятным именем и окончанием .php в содержании каталога assets/cache/. Все это можно, и следует сделать не только с MODX.

Для того, чтобы быть уверенным в защите своего сайта, обновляйте вовремя сниппет и MODX до самых новых и актуальных версий. Это поможет избежать лишних нервов и не даст взломщикам заполучить доступ к вашей информации, которую Вы храните на сайте.

  • MODx
  • 12, сегодня: 1