ENG    РУС

Все заметки блога »

Массовый взлом MODx через уязвимость в index-ajax.php

Закажите лечение сайта и защиту от взлома у специалистов

В последние несколько дней с проблемой взлома и хакерской активностью к нам обращались достаточно много владельцев сайтов на CMS MODX Evolution. В результате анализа журналов веб-сервера нескольких десятков взломанных сайтов, размещенных на различных хостингах, была выявлена массовая атака, которая была проведена 1-2 июня с сервера, имеющего румынский IP адрес 188.208.33.18.

массовый взлом modx через ajaxsearch

Эксплуатировалась уязвимость в файле index-ajax.php, в результате которой загружался один или несколько бэкдоров в каталог /assets/cache/ со случайными трехбуквенными именами (rxj.php, adg.php, kks.php,…). Далее, спустя 10 дней (11-12 июня) выполнялась серия запросов к загруженным бэкдорам в каталоге /assets/cache/. Сценарий один и тот же для всех взломанных сайтов.

массовый взлом modx через ajaxsearch

К сожалению, в журнале веб-сервера не сохраняется тело запроса, поэтому невозможно выяснить детали загрузки бэкдора через index-ajax.php и варианты его последующей эксплуатации.

Известно, что все взломанные версии были MODX Evolution ранее 1.0.14 и содержали уязвимость в AjaxSearch версии ранее 1.10.1. Предположительно сайты взломали через эту «дыру».

Сам бэкдор выглядит следующим образом:

массовый взлом modx через ajaxsearch

Данный скрипт принимает на вход имена функций и параметры через COOKIE, после чего делает косвенный вызов этих функций. Если сайт размещен на аккаунте виртуального хостинга без изоляции сайтов, данный бэкдор позволяет получить полный контроль не только над взломанным сайтом, но и над остальными сайтами аккаунта. То есть свободно читать данные из базы данных и файлов, изменять их содержимое, загружать новые файлы и выполнять другую вредоносную активность.

Сигнатура бэкдора уже добавлена в сканер AI-BOLIT. Рекомендуем просканировать свои сайты на наличие взлома и заражения, причем не только MODX. Также взлом сайта на MODX можно быстро распознать по .php файлам с подозрительными именами и указаным выше содержимым в каталоге assets/cache/.

Для защиты своих сайтов необходимо обновить сниппет AjaxSearch и саму CMS MODX Evo до актуальной версии. В качестве экспресс-меры можно заблокировать доступ к index-ajax.php (удалить файл или добавить в него первой строкой <?php die(‘Forbidden’); ?>) и обновить сниппет assets/snippets/AjaxSearch, который позволяет эксплуатировать уязвимость (просто удаление index-ajax.php не поможет).

Для интересующихся, ссылки на описание уязвимостей и патчи для сниппета AjaxSearch и скрипта index-ajax.php приведены ниже:

  1. http://forums.modx.com/thread/91266/modx-evolution-1-0-13-and-prior-ajaxsearch-vulnerability#dis-post-499837
  2. https://github.com/modxcms/evolution/issues/264
  3. https://github.com/modxcms-jp/evolution-jp/commit/0ead9dd2c01c4d8dc3d632b41aa6a15a01e61ce1
  4. https://github.com/modxcms/evolution/blob/bugfix/index-ajax.php#L12-L18
  5. https://github.com/modxcms-jp/evolution-jp/commit/72db40e8499440f58d85d1c811cc0248b02b1cdb

Если вам потребуется помощь специалистов, напишите нам.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: