Задать вопрос
@den-masonov

Проблема с вредоносным кодом. wp-xml-rpc.php?

Достался сайт (evolution 1.2) в котором нужно исправить проблемы с отправкой писем. Хостер заблокировал файл /assets/snippets/wayfinder/examples/wp-xmlrpc.php и отправку писем, и пишет:

>>> Вам следует понимать, что удаление указанных файлов не является решением проблемы. Вам нужно найти уязвимость, с помощью которой они были внедрены, и устранить ее. Повторение ситуации будет означать блокировку всех сайтов на аккаунте.

Я не особо знаком с modx. Есть какие то стандартные сценарии по которому могло быть заражение этим файлом? Или все же достаточно удалить файл, поменять пароль к хостингу и сайту и написать в ТП что проблема решена?
  • Вопрос задан
  • 238 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
zooks
@zooks
Frontend
В MODX нет таких файлов. Нужно пролечить сайт и сменить пароли.
Ответ написан
Комментировать
Sanes
@Sanes
wp-xmlrpc.php это вроде как к Wordpess относится
Ответ написан
Комментировать
@ugodrus
Сталкивался с такой проблемой. Сайт был под апачем. Лечил htaccess'om. К сожалению не сохранился исходник файла. Проблема решается легко если у вас управление осуществляется с фиксированного IP. Принцип правила такой:

если это POST запрос

И он обращен НЕ на типовые скрипты (типа index.php в корне и ещё в какой-то есть приёмник для AJAX запросов в публичной части)

И если запрос не с указанного IP

то перенаправляем его на заглушку, в которой записываем в лог параметры запроса, кто, куда, и с какими данными.

таким образом злоумышленник даже в админку не войдет а про запросы к чему-то ещё вообще бесполезно.
далее пока собираются логи по размещённым злоумышленником скриптам анализируем все скрипты сайта где упоминаются следующие функции: mail, eval, fsockopen и его вариации , base64_decode, exec и её аналоги.

У меня была такая особенность: Вредоносный код был в начале файла в виде <?php затем куча пробелов чтобы скрыть от глаз в редакторе, потом код и завершалось ?> соответственно если это был изначально php файл то после этого открывался <?php родного файла
Ответ написан
@spd78
Люблю MODX
Была проблема с evolution, до определенной версии присутствовала уязвимость. Вот тут можете инструкцию по исправлению посмотреть: https://modx.ru/novosti-i-stati/article/289/
Если тезисно - то делаете бекап файлов и БД, Айболитом ищите проблемные файлы, чистите или удаляете их (по ситуации), обновляетесь на последнюю версию MODX, обновляете все модули.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы