Взлом сайтов на modx evolution версий 1.1.0 и более ранних

А, можно где-то семплы вашей беды найти и скачать, дабы погонять на своих серверах и сделать наконец защищённый хостинг:)

Хоть что-то полезное в топике кто-то сделать пытается...

Comrade_Comm, А, нужен ли мой труд кому-то, просто сейчас все перешли на 1 долларовый хостинг и даже считают что хостинг Битриксов должен стоить "пару баксов".Просто если делать проект, то такой хостинг будет стоить не пару баксов.

Атака на MODX Evolution и что с этим делать

У себя вредоносный код обнаружил в базе данных. Маскировался под стандартный плагин modx (дублировал его - так понимаю может быть любой из действующей сборки).

Интересно, что народ жалуется на новые заражения от 5 декабря. У кого как обстоят дела?

---------- Добавлено 06.12.2016 в 10:10 ----------

Тут дело не в хостинге, к сожалению.

SamD, А, в чём проблема от 0-day защититься на хостинге, просто при покупке плана в биллинге или ещё где выбираем cms и сервер подхватывает нужный конфиг, но делать такое в условиях кризиса когда вебмастеры считают что хостеры должны есть сухари и пить воду желания нету абсолютно.

Берите американские всё по доллару в год, правда там теже взломы, только суппорт нельзя наказать ибо в TOS маленькими буквами написано что взломы сайтов и прочий ущерб не их вина и они за это не отвечают, а если пробовать им угрожать могут аккаунт заблокировать, такая вот правда, нравиться она кому-либо или нет.

Несмотря на то, что некоторым из адептов MODX не понравилось моё высказывание о безопасности этой CMS, и я опять рискую получить моральный ущерб, позволю себе ещё одно замечание. MODX - одна из немногих CMS, хранящих PHP-код в БД. Из известных CMS подобное встречается ещё в Друпале, но там эта фича применяется ограниченно и опционно. Так вот, это ОЧЕНЬ ПЛОХО. Плохо по крайней мере по двум причинам. Во-первых, узнав пароль от БД, злоумышленник получает доступ к ней из любого места на хостинге и может свободно закачивать шеллы, даже не входя в админку - так что можно ставить на админку хоть двойную, хоть тройную защиту - не поможет. Во-вторых, из-за того что код сохраняется в базе данных, он не обнаруживается сканерами файлов на хостинге - это мнение ревизиума.

Sitealert, Если у хостера руки из ненужного места, в прочем так у большинства, проблемы с залить php shell и поломать пол сервера обычно никакой нету это из опыта администрирования более 10 лет.

Сейчас пытаются крутить через CloudLinux правда он сам по себе как решето багов и дыр:)

Про MODX в целом я с Вами полностью согласен, чтобы его защитить нужно крутить такие штуки как GreenSql прокси и тп, но кому это надо когда цена хостинга доллар, ну сломают 1 клиента он с матами сбежит, придёт 10:)

kxk, в данном случае уязвимость останется на любом шаред-хостинге, независимо от квалификации хостера. Вопрос только в том, откуда будет возможен доступ: с одного сервера, как у большинства хостеров, или со 100500 серверов, как, например, на мастерхосте. Или вообще через пхпмайадмин из сети, как иногда бывает.

Кстати, взлом начался с обращения к файлу index-ajax.php в корне

Судя по всему его можно удалить совсем

Ну Вы посмотрите на ссылку, которую я чуть выше дал. Там описание от ревизиума.