Взломали сайт
Здравствуйте.
У меня взломали сайт.
Залили шел (start.php)
Залили какой-то err_class.
prntscr.com/4w2nxg
Все это я могу убрать.
Но на сайте взломщик сейчас размещает ссылки prntscr.com/4w2wdd
sdm-lab.ru/
И как он это делает — вообще непонятно. Как будто какой-то modx plugin срабатывает на событие. Но в плагинах ничего незнакомого не вижу. prntscr.com/4w2x1g
Версия modx-2.2.6.
Да сейчас буду обновляться до последней.
Но можете подсказать, как он это сделал. И где еще искать жучков.
У меня взломали сайт.
Залили шел (start.php)
Залили какой-то err_class.
prntscr.com/4w2nxg
Все это я могу убрать.
Но на сайте взломщик сейчас размещает ссылки prntscr.com/4w2wdd
sdm-lab.ru/
И как он это делает — вообще непонятно. Как будто какой-то modx plugin срабатывает на событие. Но в плагинах ничего незнакомого не вижу. prntscr.com/4w2x1g
Версия modx-2.2.6.
Да сейчас буду обновляться до последней.
Но можете подсказать, как он это сделал. И где еще искать жучков.
Комментарии: 17
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Да и про 2.2.15 я совсем не уверен.
Поискал по базе файл start.php.
Нашел в логах (modx_manager_log) — prntscr.com/4w3fnd
Пользователь — какой-то тест. prntscr.com/4w3gzr
Там все почти закоментено. Включен UrlRewriteEngine. И дружеские url'ы.
Вот еще от себя могу добавить —
Редактирование документов и пользователей.
prntscr.com/4y5cda
PS: Это уже после обновления. До обновления было также.((
+такое бывает если хостер не поддерживает js и css-сжатие.