Как избавиться от вируса на сайте modx evo?

Question

[vairon]

Подскажите, кто знает, пожалуйста.

Cайт на modx Evo был создан в 2015 году - сайт обычная визитка. Был заброшен в 2016 г. Теперь в 2020 сайт запустил, и без обновления cms начал его продвижение)) Недавно вредоносный код попал на сайт, и заодно еще на один другой мой сайт который без cms (просто на html). Сам понимаю, что вирус попал 99% потому что версия cms modx с 2015 года, не обновлялась) Сайты на шаред-хостинге.

Вопрос: если сейчас удалить все файлы с аккаунта на хостинге, обновить cms и залить все бэкапы назад проявит ли себя вирус на обновленном сайте и вообще позволит ли он нормально обновить cms?

P.S: программа ai-bolit пишет результат проверки:

building list of shells-153,
building list of js-0.
building list of unread files-0

Заранее спасибо!

Answer 1

[Алексей Сундуков]

обновить cms и залить все бэкапы назад проявит ли себя вирус

Конечно проявит. Ваш сайт уже в списке яузвимых у взломщика. В контексте того, что MODx хранит PHP код в базе, то вероятно он у вас уже в базе.

Я когда-то делал так:
1) вынес весь код из базы в файлы предварительно проинспектировав их.
2) полностью завел движок под git, немного понаблюдал по git diff что где меняется.
3) настроил окружение веб сервера так, что бы у движка небыло возможности записи файлов (по сути заморозив сайт).
4) начал последовательно "отпускать" гайки позволяет веб серверу писать в строго заданные директории.

Работа долгая и нудная требующая наблюдение за состоянием системы и быстрой накаткой/откаткой изменений.

Comments

[vairon]

Понял, спасибо!
Подскажите еще, пожалуйста. На сайт, в файловый менеджер и в CMS заходить безопасно на данный момент? Хочу поменять все пароли на вход, и пока временно удалить все файлы. P.S:Возможно залью из бэкапа только сайт html который вообще без CMS.

[Алексей Сундуков]

vairon, если вирус в движке, он уже в движке и не имеет значение, заходим в CMS или нет.
Вот что вспомнил кстати. Дыра была явно где-то в админке. Так что в первую очередь её стоит закрыть под HTT basik. Пример конфига nginx:

location ^~ /manager/ {
        auth_basic           'MODx CMS Manager';
        auth_basic_user_file /etc/nginx/******.htpasswd;

        root /****/httpdocs;
        try_files  $uri $uri/ @rewrite;
...
    }
...

[vairon]

Большое спасибо!
На счет безопасности я имел ввиду- безопасно ли это для моего домашнего компа?))

[Алексей Сундуков]

vairon, а зараженный движок развернут на домашней тачке? Ну в зависимости от того как развернуто и какой вирус потенциально может оказаться небезопасно. В целом правила простые: не запускать веб сервер от root, иметь для root устойчивый ко взлому пароль, через мониторинг (тот же htop) следить, какие процессы запущены. Еще лучше перед запуском веб сервера отключиться от сети. Вирусы очень любят ломиться наружу за командами.

[vairon]

Алексей Сундуков, Огромное спасибо!