Пока ни один в теме не сказал, что у него сайт заразился на каком-то другом хостинге в эти дни.
У меня на поддержке больше 5 сайтов с разными версиями modx и разными дополнениями, везде все ок, только один на таймвебе заразился.
Причем после чистки этого сайта, я ничего абсолютно не обновлял, а заражений новых с того момента нет — если бы была дырка или уязвимость в modx и его компонентах — почти наверняка уже бы снова заразили.

Да, конечно. Разве что кроме архива core.transport.zip.

Смысл же в том, чтобы сравнить свои файлы с эталонными на предмет изменений. Файлы ядра меняться не должны.

Да, ещё добавлю момент важный, с которым я столкнулся в самом начале, после установки модуля. В системных настройках MiniShop3 есть параметр ms3_frontend_assets, в нём указан перечень css/js файлов что будут подключены на страницах сайта. Собственно, в этом списке есть опечатка/ошибка, которая не позволяет добавить эти ссылки скриптом. По умолчанию этот список выглядит вот так:

[
	"[[+cssUrl]]web\/lib\/izitoast\/iziToast.min.css",
	"[[+jsUrl]]web\/lib\/izitoast\/iziToast.js",
	"[[+jsUrl]]web\/ms3.js",
	"[[+jsUrl]]web\/modules\/hooks.js",
	"[[+jsUrl]]web\/modules\/form.js",
	"[[+jsUrl]]web\/modules\/request.js", 
	"[[+jsUrl]]web\/modules\/cart.js",
	"[[+jsUrl]]web\/modules\/customer.js",
	"[[+jsUrl]]web\/modules\/order.js",
	"[[+jsUrl]]web\/modules\/message.js",
]

Нужно удалить запятую у последней ссылки. Иначе этот список, который фактически является JSON-строкой, не будет преобразован в массив. То есть список должен выглядеть вот так:

[
	"[[+cssUrl]]web\/lib\/izitoast\/iziToast.min.css",
	"[[+jsUrl]]web\/lib\/izitoast\/iziToast.js",
	"[[+jsUrl]]web\/ms3.js",
	"[[+jsUrl]]web\/modules\/hooks.js",
	"[[+jsUrl]]web\/modules\/form.js",
	"[[+jsUrl]]web\/modules\/request.js", 
	"[[+jsUrl]]web\/modules\/cart.js",
	"[[+jsUrl]]web\/modules\/customer.js",
	"[[+jsUrl]]web\/modules\/order.js",
	"[[+jsUrl]]web\/modules\/message.js"
]

Надеюсь это кому-нибудь поможет.

И ещё. Хочу сказать огромное спасибо разработчикам за проделанную титаническую работу! Очень жду, как и многие, модуль в общем доступе уже в репозиториях, хотя, думаю, из-за объёма работ и параллельных забот, это произойдёт не скоро.

Продвинулся ещё немного, в файле cart.js, который находится по адресу assets/components/minishop3/js/web/modules/ есть строки:

render: function (response) {
    const cartRender = response.data.render.cart
    console.log(response);

    for (const key in cartRender) {
      const { selector, render } = cartRender[key]
      
      const $element = document.querySelector(selector)

      if ($element) {
        $element.innerHTML = render
      }
    }
  },

Где selector оказывается пустым, и, соответственно, скрипт не может определить где корзина, что бы обновить её. Честно, пока не пойму откуда он должен получить идентификатор контейнера корзины… Возможно id блока где-то можно указать, но я не нашёл где… Возможно скрипт сам его получает где-то… Для проверки в строку

const $element = document.querySelector(selector)

вставил, добавленный мною на сайте идентификатор msMiniCart (взятый с minisop2 в надежде что его добавление «чудесным образом» позволит корзине обновляться, но не тут то было), получив

const $element = document.querySelector(#msMiniCart )

и корзина полноценно заработала. Пока остановлюсь на этом… мне этого пока достаточно, что бы продолжить другие работы по сайту, но, возможно, скоро я снова погружусь в интересный процесс доработки кода.

Выявил такую штуку… Скорее всего, то что корзина на странице не обновляется, связано с тем что нет какой-то обёртки у неё, что бы скрипт мог понять что именно нужно обновлять после изменения содержимого. Сейчас же сниппет и для отображения на всех страницах, и на самой странице корзины общий — выводит только его содержимое. То есть, если добавить на страницу [[!msCart]], то он просто выводит содержимое корзины в виде таблицы или просто текстом напишет что товаров нет, без какой-то обёртки. Посмотрю как выглядит корзина в minishop2, может оттуда можно будет что-то взять

Оказалось что в updateToken пропустил один this, теперь ошибок нет вообще, но корзина не обновляется, что бы показать увеличение количества товаров, после добавления… Содержимое страницы обновляется только после перезагрузки страницы. Буду искать причину. Но если что знает от чего так, то подскажите, буду признателен.

Продолжу делится тем как продвигается исправление встречающихся мне ошибок. Надеюсь что двигаюсь в правильном направлении, может это кому-то то же поможет. В файле заменил все встречаемые this на ms3, в методах setToken и updateToken (в файле customer.js). Теперь товар добавляется в корзину, только сама корзина на странице не обновляется. Товар в корзине можно увидеть только после обновления страницы.



Теперь ошибка в консоли вот такая. Что-то не так в функции updateToken, ошибка уже не на какой-то конкретной строке, а выводится из try/catch

Не знаю верно ли делаю или нет, может кто-то подскажет, пока заменил:

ms3.setToken()

на

ms3.customer.setToken()

Ошибка пропала. На странице, при нажатии на кнопку добавления товара в корзину, появилось всплывающее модальное об отсутствии токена (ранее страница просто перезагружалась). Копаюсь дальше. Сейчас видна в консоли другая ошибка:

Ради интереса спрошу — у заболевших сайтов ядро (папка Core) за пределами публичной части?
И ещё — у этих-же сайтов ссылка на админку вида "/manager", или своя?

Дополню предыдущий пост. Сама функция, которую мы пытаемся вызвать, находится чуть ниже по коду, в этом же файле — она асинхронная

Вот как раз-таки по этому врядли это проблема таймвеба, скорее всего старая версия MODX и дыры в компонентах. А-то накинулись на таймвеб все)

Спасибо что откликнулись.

Пока была надежда что кто-то прям с такой же проблемой столкнулся кто-то, поэтому не прикреплял скриншоты. Сейчас будут подробности. Вот тут указаны эти методы, в самом репозитории модуля — https://github.com/modx-pro/MiniShop3/issues/15

Вот скриншот из консоли браузера


Если что, вот сама страница где тестовый товар. Перейдя в него, можно увидеть кнопку так же добавления товара в корзину.

В каталоге ошибка в консоли вылазит сразу при загрузке страницы, так же и в карточке товара.

Вот скриншот блока кода из файла:

Он теперь стоит 2.5к) Благодарность обозначенная автором)

Ну там ещё стэк вызовов есть, номер строки на которой ошибка возникла, а ты прислал только текст и что с ним делать? Перевести? ms3.setToken is not a function — ms3.setToken это не функция.

У меня сайт на MODx 3.1.1, требуется настроить на нём магазин. Я поставил MiniShop3. Я в курсе что это альфа-версия и могут быть какие-то проблемы в работе, просто не хочется самим писать какой-то примитивный функционал магазина (займусь этим если ничего не решу с ошибками), что бы закрыть все потребности на сайте. Тем более что когда-то давным давно писалось что основной функционал с MiniShop2 перенесён. Может кто-то ставил уже этот модуль и решал возникнувшие проблемы? В частности, у меня проблема с асинхронной функцией ms3.setToken() в файле customer.js (возможно дальше тоже появятся ошибки, но это пока в числе первых), возвращается ошибка «ms3.setToken is not a function». Знает кто-то как её исправить? В поиске не нашёл что бы у кого-то подобная проблема была…

На гите есть упоминание этой функции и пометка что «Метод setToken является асинхронной, но вызывается как синхронный. Возможны ошибки в будущем.». Может кто-то знает как убраь эту ошибку?

А файлы ядра тоже все хэшировать?

Да для всех, какие есть в дистрибутиве — лишнего-то там быть ничего не должно, по идее.

В идеале вообще автоматизировать и качать всё новое бесплатное из репозитория MODX / modstore, распаковывать и забивать в БД:
— название: MODX или дополнение
— версия дистрибутива
— путь к файлу
— sha1 хэш файла

создать онлайн базу для проверки хэшей файлов MODX и дополнений через API

Интересная идея, я бы занялся на досуге. Ты мог бы в общих чертах описать для каких файлов делать хэш у ядра и у компонентов?

Бинго!
Так-то я знаю, что в leftJoin указываются соответствия строк таблиц, но что после объявления псевдонима дальше используется только он — это я забыла. Спасибо!

Насколько я вижу из кода, скрипт в первый раз сохраняет хэши файлов, а потом их проверяет. Но если сайт уже заражён — то это никак не поможет.

Подкидываю альтернативную идею, если интересно — проверять версию MODX (или брать из настроек), скачивать соответствующий дистрибутив, и проверять хэши файлов сайта по файлам дистрибутива.

То есть, берём оригинальные файлы index.php в connectors, manager и корне, а так же файлы из core — и проверяем, чтобы все они присутствовали на сайте с оригинальным хэшем.

Если все основные файлы не изменены, то сайт не заражён и должен работать корректно.

Правда, есть еще возможность заражения только файлов дополнений, без ядра. Наверное, можно и их сверять с дистрибутивами из репозитория по той же логике — скачать нужную версию и сравнить хэши…

Кстати, вот вам еще идея — создать онлайн базу для проверки хэшей файлов MODX и дополнений через API. Чтобы простые GET запросы, типа /api/hash/modx/2.8.1/core/model/modx.class.php возвращали sha1 хэш запрошенного файла или 404.

Конечно, это не спасёт от уже залитых шеллов и вредоносов, но они не будут запускаться через сайт. А если запустятся и что-то изменят, то следующая проверка это покажет. И если раз за разом файлы будут меняться — то можно уже более внимательно искать, что там такое у вас залито.