Донецкий техникум промышленной автоматики

Масовий злом сайтів на MODx Evo

В останні три тижні ми спостерігаємо масовий злом сайтів, що працюють на CMS MODx Evolution. Зламують різні версії, в тому числі і найактуальніші.
Ми провели аналіз логів проактивного захисту, яка встановлюється на сайти наших клієнтів, і виявили, що причиною є вразливість в компоненті assets / snippets / ajaxSearch / classes / ajaxSearchConfig.class.inc.php.
В останні три тижні ми спостерігаємо масовий злом сайтів, що працюють на CMS MODx Evolution
Через відсутність належної фільтрації значення параметра ucfg (передача користувальницької конфігурації), стає можлива ін'єкція бекдора за допомогою POST запиту. Бекдор зберігається в базі даних і дозволяє надалі проводити успішні атаки на сайт: завантаження веб-Шелл, маніпуляцію з файлами і базою даних, дефейс тощо. Через те що код зберігається в базі даних, він не виявляється сканерами файлів на хостингу і, навіть у разі успішного видалення всіх завантажених Шелл, у хакера все одно залишається "лазівка", через яку він повторно завантажує шкідливі скрипти.

Приклад однієї з атак, після якої відбувається впровадження бекдор і шкідливого завантажувача в базу даних сайту. В логах веб-сервера це буде виглядати як звичайний POST запит до файлу index-ajax.php. Але наша система моніторингу дозволяє заглянути всередину запиту:

Атаки йдуть з орендованих VPS серверів. Бот виконує POST запит, завантажує на сайт скрипт-uploader (розкодований фрагмент нижче), а через деякий час використовує його для розміщення шкідливих скриптів на сайті.

Дві з половиною тижні тому був випущений патч для закриття цієї уразливості, який можна подивитися на https://github.com/extras-evolution/security-fix/commit/46ba72adca41d24cfda84e62d6b8104e6bf6ed68#diff-34653dc55960eacc1d868072757b9b4a

Також наші системи моніторингу фіксують постійні атаки на MODx сайти через інший популярний скрипт, який вже доставив багато клопоту і власникам інших CMS, так як він часто використовується в різних плагінах галерей
Також наші системи моніторингу фіксують постійні атаки на MODx сайти через інший популярний скрипт, який вже доставив багато клопоту і власникам інших CMS, так як він часто використовується в різних плагінах галерей. Він є частиною evogallery і містить уразливість, що дозволяє завантажити довільний файл (в тому числі і хакерський шелл).

Якщо ви використовуєте на сайті модуль галереї з uploadify і функцію ajax пошуку, то рекомендуємо оперативно встановити патчі. Якщо не використовуєте - видаліть uploadify.php і перейменуйте скрипт index-ajax.php.

Крім того, обов'язково перевірте свій сайт. Можна звернутися до фахівців Stopvirus.by

by