События

Злоумышленники атакуют сайты под управлением MODx Evo

Злоумышленники атакуют сайты под управлением MODx Evo

Специалисты компании «Ревизиум» зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution. Компрометации подвергаются ресурсы под управлением различных версий CMS, в том числе самых актуальных.

В ходе атак злоумышленники эксплуатируют уязвимость в компоненте assets/snippets/ajaxSearch/classes/ajaxSearchConfig.class.inc.php, позволяющую внедрить бэкдор при помощи POST-запроса. Бэкдор сохраняется в базе данных и позволяет осуществлять различные действия: загружать вредоносные скрипты, производить манипуляции с файлами и базой данных, осуществлять дефейс и пр. В связи с тем, что бэкдор сохраняется в базе данных, он не детектируется сканерами файлов на хостинге. Даже в случае успешного удаления всех загруженных вредоносных скриптов у злоумышленника остается возможность повторной их загрузки.

По данным экспертов, атаки осуществляются с арендованных VPS серверов. Бот выполняет POST-запрос, загружает на сайт скрипт-загрузчик и через некоторое время использует его для размещения вредоносных скриптов на ресурсе.

На GitHub уже доступен патч, устраняющий вышеуказанную уязвимость.

Также эксперты зафиксировали атаки на MODx-сайты через популярный скрипт, часто использующийся в различных плагинах галерей. Скрипт является частью evogallery и содержит уязвимость, позволяющую загрузить произвольный файл, в том числе вредоносный.

Специалисты рекомендуют владельцам сайтов, использующих модуль галереи с uploadify и функцию ajax поиска, оперативно установить патчи. Если модуль и функция не используются, эксперты рекомендуют удалить uploadify.php и переименовать скрипт index-ajax.php.

Автор: Сергей Куприянов
30.11.2016 (15:59)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.