Последние темы


Критическая уязвимость MODX <=2.6.4

  • Если вы ещё не обновили MODX на версию 2.6.5, очень рекомендую это сделать. Не откладывайте на завтра! Если ваш сайт ещё работает, как минимум сделайте резервную копию файлов.
    Подробности здесь:
    https://mailchi.mp/modx/upgrade-your-modx-revolution-sites-nowcritical-security-vulnerability

    Как работает вирус:
    Во все js и json файлы сайта внедряется вредоносный код, который делает редиректы с вашего сайта и создает айфремы. В корневой папке создаются файлы dbs.php или install.php.

    После обновления MODX не забудьте удалить все распаковынные дополнения (папки) в core/packages/.

    Скрипт для автоматической очистки JS файлов:

    <?php
    
    ini_set('display_errors', 1);
    error_reporting(E_ALL);
    
    $dirPath = __DIR__ . '/assets';// Папка, которую нужно очистить
    
    function getDirContents($dir, $extArr = [], &$results = []){
        $files = scandir($dir);
        foreach($files as $key => $value){
            $path = realpath($dir . DIRECTORY_SEPARATOR . $value);
            $ext = pathinfo($path, PATHINFO_EXTENSION);
            if(!is_dir($path)) {
                if (empty($extArr) || in_array($ext, $extArr)) {
                    $results[] = $path;
                }
            } else if($value != "." && $value != "..") {
                getDirContents($path, $extArr, $results);
            }
        }
        return $results;
    }
    
    $count = 0;
    $files = getDirContents($dirPath, ['js', 'json']);
    
    foreach ($files as $filePath) {
        $ext = pathinfo($filePath, PATHINFO_EXTENSION);
        if(strpos(file_get_contents($filePath), 'var _0x2515') !== false) {
            if ($ext === 'json') {
                file_put_contents($filePath, '{"error": "Файл был инфицирован."}');
            } else {
                file_put_contents($filePath, 'console.log("Файл был инфицирован.");');
            }
            $count++;
        }
    }
    
    echo "Очищено {$count} инфицированных файлов.";
    
    

    Загрузить в корневую папку и запустить. Сделано только для моего случая, возможно у вас другой вирус.

  • @andchir это тема с документацией случилась?

  • Участник @wizzzout написал в Критическая уязвимость MODX <=2.6.4:

    @andchir это тема с документацией случилась?

    Сейчас у меня на сервере АД творится. Будьте осторожны 🙂 Из-за MODX, похоже, пострадали все сайты, кроме этого форума. Полезно создавать отдельного юзера для каждого сайта 🙂

    PHP время от времени отрубается на сервере, логи пока не смотрел.

  • @andchir есть какая-нибудь офлайн версия документации? нужно бы на гитхаб выложить чтобы такого рода проблем не было

  • Участник @wizzzout написал в Критическая уязвимость MODX <=2.6.4:

    @andchir есть какая-нибудь офлайн версия документации? нужно бы на гитхаб выложить чтобы такого рода проблем не было

    На первой странице сайта wiki.modx-shopkeeper.ru было написано:

    Самая актуальная документация всегда идет в комплекте с компонентом. Её можно увидеть при установке (вкладка «Инструкция»), после установки можно нажать на кнопку «Посмотреть детали» в списке пакетов. Или в файле - /core/components/[название компонента]/docs/readme.txt.

 

Последние комментарии

  • M

    @Andchir , спасибо. Проблема и правда была в одном из плагинов, который на другом сайте нормально работает

    Читать далее
  • Что нового в Shopkeeper 4.0.3:

    Исправлено некорректное определение языка по умолчанию В настройках в админке скрываются пароли. Добавлена возможность загружать картинки для категорий. shopkeeper.js - добавлена функция updateProductsPrice() для поддержки текстовых полей для цены. Twig-функции contentList() и includeContent() вынесены в отдельный класс. Добавлено событие "order.before_create". Сортировка всех полей типа контента перетаскиванием. Автоматическое сохранение сортировки полей при сохранении типа контента (не нужно нажимать на отдельную кнопку). В интерфейсе админа добавлено поле поиска для списка Composer-пакетов.

    Скачать можно на главной странице https://modx-shopkeeper.ru/

    Читать далее
  • Вот этот плагин:
    0_1550334109280_screenshot_022.png

    Вроде по умолчанию он выключен. Надо включить. Но плагин работает только на редактирование товаров, при удалении он делалать ничего не будет. Только что проверил кнопку, всё работает корректно, фильтры удаляются и добавляются, когда нужно. Но нужно очищать корзину после удаления товаров (возможно баг).

    Читать далее
  • J

    @Andchir Если нажимаю кнопочку "Обновить значения", то в фильтрах появляются как раз те самые удаленные значения фильтра.. Потом приходится Ручками выбирать эти удаленные значения.
    вот так выглядит Управление фильтрами когда удаляешь ручками: https://yadi.sk/i/_zw64CGkZ_sAYg
    А вот так выглядит когда просто нажимаешь "Обновить значения": https://yadi.sk/i/7WFbXC6xV5sQAw (красным выделено, то что приходится постоянно удалять

    Читать далее