Массовое заражение сайтов на MODX Revolution. Modx обновление
Обновление Modx Revolution до последней версии
Добрый день, вечер, ночь или утро, дорогие подписчики. Сегодня я расскажу как обновить Ваш сайт на Modx Revolution до последней версии. Все достаточно просто и не потребует особых знаний. А самое главное это делается достаточно быстро, самое главное все сделать правильно и по инструкции. Я буду обновлять сайт с версии 2.2.5 на 2.5.0. Скорее всего через некоторое время версию будет уже 2.5.1 и выше, но техника и шаги обновления останутся прежними. Пожалуй, начнем?
Шаг 1. Чистим кэш
Заходим в админку и нажимаем на «Очистить кэш сайта»
Затем переходим в Ваш FTP клиент (или файл-менеджер), заходим в папку core и удаляем папку cache. После этого опять идем в админку и нажимаем на «Завершить все сеансы»
Теперь можем переходить к следующему шагу.
Шаг 2. Делаем бэкап сайта и базы данных
Это нужно сделать ОБЯЗАТЕЛЬНО, дабы не потерять рабочий сайт, в случае неудачной попытки обновить Modx Revo. Скорее всего Вы сможете сделать архив сайта и базы данных у Вашего хостинг провайдера. Если такой услуги нет, то тоже не беда, просто сделайте дубликат файлов у себя на FTP. Это можно сделать с помощью любого файл-менеджера, типа TotalCommander на Windows или Coda2 на Mac OSX.
Шаг 3. Скачиваем последнюю версию Modx Revolution
Переходим на официальный сайт Modx и скачиваем самую последнюю версию Modx Revolution. В моем случае, как я уже сказал, это версия 2.5.0. Перешли? Теперь скачиваем версию «Traditional»
Шаг 4. Заливаем файлы на сервер
Я предлагаю сначала перенести с заменой файлы .htaccess, config.core.php, index.php и папки connectors, core, manager, setup. То есть оставить пока папку core.
Внимание! С файлом .htaccess аккуратнее, потому что там могут быть очень нужные настройки для SEO оптимизации сайта и работы сервера. Замечу, что я не переносил этот файл.
После того как все перекачается переходим в папку core, как на обновляемом сайте, так и в сборке последней Modx Revo и перекачиваем с заменой все папки кроме config.
Шаг 5. Запускаем установку Modx Revolution
Когда все файлы будут перезалиты, запускаем установщик по адресу http://вашсайт.ru/setup/. Выбираем русский язык
Далее
Ставим галочку «Обновление существующей установки»
Далее устанавливаем Modx по той же схеме, что и с нуля.
Все готово. Единственное, что может быть — это сообщение конфигурации о chmode папки core в админке на главной странице. Чтобы исправить это переходим в файл-менеджере в папку core и меняем ht.access на .htaccess.
Поздравляю. Ваш сайт на Modx Revolution обновлен до последней версии
Если вы переносили .htaccess, то не забываем подправить файл .htaccess, изменить настройки переадресации с www или без и так далее. Если не знаете как это делать, лучше обратиться к профессионалам по поисковому продвижению
upgradeMODX – обновляем Revolution
В отличие от многих систем управления контентом, или содержимым, дающим возможность провести процедуру обновления системы одним нажатием кнопки, MODX такой опции не предоставляет. Чтобы обновить нашу Revo, нужно сначала скачать установочный пакет, разместить его на сервере в разархивированном виде, запустить процесс установки, не забыв при этом проверить ее тип…
Не слишком трудоемко при наличии навыков обновления CMS, но и не слишком быстро. Однако «компоненты сторонних разработчиков» выручат и на этот раз.
Дополнение Боба Рэя под названием «upgradeMODX» призвано сделать процесс обновления Revolution простым как строительная тачка.
После установки дополнения в административном интерфейсе MODX появится новый виджет. Он будет показывать, имеется ли новая официальная версия. Кроме того, виджет сделает возможным произвести обновление движка одной кнопкой.
Чтобы обновить систему, нажмите кнопку «Upgrade MODX». Откроется окно с выбором версии, на которую вы хотите обновиться.
Нажатием кнопки «Upgrade» запускается стандартный процесс обновления MODX. Просто следуйте пошаговым инструкциям на экране.
Единственное отличие от установки MODX с нуля – будет выбрана опция не «Новая установка», а «Обновление существующей установки».
В самом конце программа установки удалит установочные файлы, а вам останется лишь войти в административную часть, где вы увидите, что обновление больше не требуется.
По окончании обновления сайта проверьте, не требуется ли обновить установленные ранее дополнения: «Приложения – Установщик».
Вот и все! Обновить вашу CMS совсем не сложно.
modxinfo.ru
Урок 4. Обновление MODX Revolution
К сожалению, система управления контентом MODX Revolution не предоставляет возможности провести процедуру обновления CMS нажатием одной кнопки, как это делается в Wordpress и многих других движках.
Поэтому на начальном этапе работы у неопытных пользователей возникают сложности с поддержанием CMS в актуальном состоянии. А обновлять ее жизненно (для сайта, разумеется) необходимо.
ВАЖНО! Перед началом обновления системы в обязательном порядке делайте резервную копию как файлов сайта, так и базы данных. В случае неудачного обновления вы всегда сможете вернуться к начальному состоянию.
Процесс обновления MODX Revolution мало чем отличается от его чистой установки на сервер. Единственное, о чем надо помнить – вы не должны удалять или перезаписывать файл core/config/config.inc.php.
1. Скачивание установочного пакета MODX
Заходим на официальный сайт modx.com в раздел «Download» и скачиваем установочный пакет. В данном разделе находится стандартная версия установщика (Traditional). Расширенная версия (Advanced) чуть глубже – https://modx.com/download/other-downloads. Выбирайте соответствующий вашей CMS пакет.
2. Очистка кэша сайта
В административной панели сайта выбираем «Управление – Очистить кэш сайта».
После очиcтки кэша завершаем все сеансы: «Управление – Завершить все сеансы»
Далее удаляем содержимое папки /core/cache (на изображении интерфейс файлового менеджера панели управления, хостинг Бегет). Саму папку cache не удаляем!
3. Загрузка файлов на сервер
Загружаем распакованные файлы установочного пакета на наш сервер. Для пакета Advanced папки называются core и setup. Их всего две. Для стандартного пакета (Traditional) папок немного больше.
Загрузку файлов можно производить как через ftp-клиент, так и с помощью панели управления хостингом. Если вы делаете это через панель управления, загружать можно непосредственно архив, а распаковку провести уже на сервере. Так выйдет быстрее. Удаление файлов кэша через панель управления также сэкономит вам время.
4. Запуск процесса обновления
Для того, чтобы обновить наш движок, делаем то же самое, что и при установке MODX с нуля. Переходим по адресу site.ru/setup, а далее вспоминаем инструкцию по установке. Единственное отличие – выбирается опция не «Новая установка», а «Обновление существующей установки».
5. Проверка обновления
По окончании процесса проверьте, изменился ли номер версии в административном интерфейсе. Если все прошло успешно, обновите установленные ранее дополнения. Естественно, только те, которые требуют обновления.
Убедитесь, что установочные файлы с сервера удалены. Это происходит в автоматическом режиме на последнем этапе установки при условии, что галочка об удалении установочного пакета не снята, но лучше перестраховаться и перепроверить дополнительно.
Разработчик Боб Рэй создал дополнение, призванное облегчить процедуру обновления Revo. Более подробно об этом дополнении можно узнать на странице «upgradeMODX». Именно такое название оно имеет.
Для ускорения работы ваших сайтов на MODX Revolution рекомендуется перейти на использование PHP 7. В некоторых случаях разница видна даже невооруженным глазом. Время ответа сервера также уменьшается, по некоторым данным чуть ли не в три раза.
Ненавязчивая благодарность проекту
modxinfo.ru
MODX Revolution. Обновление 2.6.5-pl
ВНИМАНИЕ!
Обновление MODX Revolution до версии 2.6.5 должно считаться обязательным. Критические уязвимости безопасности затрагивают все версии до 2.6.4 включительно.
11 июля было получено уведомление о наличии двух критических уязвимостей, которые допускают удаленное выполнение скрипта и удаление файлов/каталогов. Эти проблемы носят критический характер. Возможно, злоумышленники могут скомпрометировать веб-сайт или уничтожить файлы и каталоги вашего интернет-ресурса.
Что делать
Обновить MODX Revolution до 2.6.5. версии.
Используя версию 2.6.4, вы можете заменить измененные файлы, включенные в коммиты: здесь (можно обновить вручную версии до 2.3.0) и здесь (можно обновить версии до 2.5.2). Обратите внимание, что замена файлов в других версиях MODX Revolution может привести к непреднамеренным последствиям. Всегда обновляйте CMS до текущего релиза.
Поддержка
Если Вы не знаете, какая версия MODX Revolution используется на вашем сайте, войдите в административную часть. Номер версии отображается в левом верхнем углу. Если версия ниже, чем 2.6.5, срочно обновите ее!
Если вы не знаете, как обновить CMS, существует несколько вариантов обновления. Вы можете связаться с разработчиком вашего сайта, обратиться за помощью на Форумы MODX, найти MODX Professional или получить помощь от команды MODX Services.
Благодарность
Разработчики MODX Revolution благодарят Ивана Климчука (Alroniks) и agel_nash за то, что обратили внимание на эти проблемы и проверили их решение.
Дополнительная информация
По сообщениям пользователей волна заражений идет. Вирус весьма серьезный, заражает и php-файлы, и js-скрипты. Правда, в базе данных следов его действий замечено не было.
PS. При использовании дополнения Gallery обновите до последней версии 1.7.1 и его.
Если заражение сайта произошло, восстанавливайте сайт из бэкапа и сразу проводите обновление!
Источники
Ненавязчивая благодарность проекту
modxinfo.ru
Обновление MODX Revolution двумя способами
Здравствуйте дорогие друзья!
UPD. В связи с наличием двух критических уязвимостей, обновите MODX Revolution до 2.6.5. версии! А также компонент Gallery
Затронутые релизыВсе релизы MODX Revolution до 2.6.4 включительно
В случае проблем, готов выполнить анализ и обновление вашего сайта на коммерческой основе. Обращайтесь!
Также можно установить пароль на служебные директории MODX в Apache. Подробнее здесьПри установки пароля, когда пользователь попытается открыть защищенную папку, получит запрос на ввод логина и пароля
Сегодня я хочу рассказать об обновлении MODX Revolution. Это делается очень легко и довольно быстро. На момент написания статьи, актуальной версией MODX является 2.5.4, которая была выпущена 3 января 2017 г. вместе с версией 2.5.3 :)
Кстати, если Вы не используете версию PHP 7, то это зря. На примере могу сказать, что после обновления сайта и при переходе с версии PHP 5.3, я заметил что скорость ответа сервера уменьшилась в 3 раза! В качестве доказательства, скриншоты))
Обновить MODX Revolution можно двумя способами, которые я сегодня опишу. Пожалуй начнем с легкого способа.
Я всё же рекомендую перейти сразу ко второму способу, так как черт его знает, может дополнение - костыль.
1 способ: Обновление с помощью дополнения UpgradeMODX
Данный способ обновления MODX очень быстрый.
Предварительно необходимо сделать бэкап сайта и базы данных.
Не забудьте поставить версию PHP 7!
Шаг 1. Установка плагина
Переходить в установщик и загружаем дополнение под названием UpgradeMODX
После загрузки дополнения, устанавливаем его и переходим на главную страницу вашего сайта (где виджеты)
Должен добавить новый виджет!
Как мы видим есть новая версия и я буду обновлять MODX с версии 2.4.2 -> 2.5.4.
Также там написано: "(обратите внимание: все пользователи выйдут из системы)".
Шаг 2. Обновление MODX с помощью дополнения
Очищаем кэш сайта: «Управление» -> «Очистить кэш сайта»
Нажимаем на эту чудесную кнопку: Upgrade MODX
Откроется страница обновления, я выбрал самую последнюю версию, нажал Upgrade.
После нажатия меня сразу же перекинуло на страницу обновления (2 способ - 5 шаг)
На этом всё. К счастью всё прошло успешно.
2 способ: Обновление MODX вручную
Шаг 1. Очищаем кэш сайта
Переходим в административную панель сайта и выбираем «Управление» -> «Очистить кэш сайта»
После очитки кэша завершаем все сеансы: «Управление» -> «Завершить все сеансы»
Далее удаляем содержимое папки /core/cache. Саму папку cache не удаляем!
Шаг 2. Бэкапимся :)
Во многих хостинга предусмотрена возможность создание предварительной резервной копии. Делать бэкап сайта нужно обязательно, ведь, мы не хотим сломать сайт в случае неуспешного обновления MODX, но этого не произойдет, если вы следуете моим инструкциям
Если нет возможности создать бэкап сайта, то можете просто создать копии файлов или заархивировать папку с сайтом.
Шаг 3. Скачиваем новый MODX
Переходим на официальный сайт (кстати дизайн сайта modx.com обновился) и скачиваем Advanced Distribution. Как я писал выше, я скачал версию 2.5.4.
Шаг 4. Загружаем файлы на сервер
Наверное это самый важный шаг данной статьи.
В Advanced версии присутствуют всего две папки - core и setup.
Прошу заметить, что в папке core/config нет файла config-inc.php, что очень хорошо, так как мы обновляем наш MODX.
Итак, загружаем файлы через ftp. И конечно соглашаемся с заменой.
Шаг 5. Запускаем обновление MODX Revo
P.S. Проверьте какая версия PHP установлена на хостинге, я очень рекомендую поставить PHP 7.
В TimeWeb это делается в настройке сайта:
Когда вы залили все файлы, переходим по адресу yoursite.ru/setup/ и выбираем русский язык
Нажимаем далее
Устанавливаем checkbox на «Обновление существующий установки»
P.S. В случае если Вы хотите изменить подключение к БД, изменить путь к панели управления или к core, то необходимо выбрать «Расширенное обновление»
Дальше проделываем по той же схеме, как и при установке MODX Revo.
Вот и всё
Единственное что может быть, так эта ошибка «Каталог ядра в открытом доступе», но есть один железный способ исправить эту проблему, почитать можно здесь.
Если у Вас возникли вопросы, спрашивайте через форму ниже.
Лучший способ выразить благодарность автору - поделиться с друзьями!
Спасибо, что поделились :)
02.02.2017 / 12425
igamov.ru
Массовое заражение сайтов на MODX Revolution
Злобные и суровые хакеры добрались до нашей несравненной MODX Revo. Сообщения о массовом заражении сайтов начали появляться примерно с 20 июля. Примечательно, что обновление, частично закрывающее используемые лазейки, появилось за восемь дней до этого. Но, вероятно, разработчики не совсем верно оценили масштабность возможных атак и уведомили о двух найденных и закрытых версией 2.6.5 уязвимостях в стандартном режиме, то есть без лишней шумихи.
Найденные уязвимости
Сообщение о критических уязвимостях в MODX Revolution версий 2.6.4 и ниже появилось 11 июля 2018 года. Уязвимости позволяли одним запросом аннигилировать (стереть, проще говоря) весь сайт или загрузить произвольный файл (например php-скрипт) и удаленно выполнять код (RCE). Также была найдена уязвимость в дополнении Gallery версий 1.7.0 и ниже.
Исправление 2.6.5 появилось практически сразу, уже 12 июля. Чуть позже было обновлено до версии 1.7.1 и дополнение Gallery. Пропустив эту новость, многие оказались наказаны.
Заражение сайтов
Массовые взломы начали происходить в районе 20 числа, хотя при внимательном рассмотрении файлы с вредоносным кодом появились чуть раньше. Судя по информации в сети, взломанных сайтов на текущий момент очень много. Заражение происходит точно на полном автомате, никак не вручную. Это настоящий конвейер Генри Форда, в плохом смысле, конечно.
Практически все ссылки на сайте заменяются вредоносным скриптом на различные казино, букмекерские конторы и прочий сомнительный интернет-хлам.
Опознать сайт взломанный через уязвимость CVE-2018-1000207 несложно, взлом происходит всего по 2-3 типовым сценариям. Характерный признак – наличие файлов dbs.php и cache.php в корне сайта. Иногда добавляется майнер Монеро (xmr). Кроме того, может резко возрасти нагрузка на сайт.
Очень часто заражают еще одну папку: /assets/images. Все файлы с расширением .php из этой папки можно удалять.
Будьте внимательны, если на аккаунте размещается несколько сайтов, в группу риска попадают ВСЕ сайты. Вирус спокойненько так, но быстро переберется на все ваши проекты из одного акка.
Есть и хорошая новость. Базы данных не затронуты. На текущий момент.
Файлы, которые следует проверить в первую очередь:
/index.php и /manager/index.php.
В верхней части содержится код, который перенаправляет посетителя на другой сайт.
Что с этой бедой делать
Если вам посчастливилось пройти мимо неприятности, срочно произведите обновление до версии 2.6.5. Не забудьте обновить Gallery до версии 1.7.1 (обновление появилось 20 июля). Сделайте бэкап сайта и озаботьтесь дополнительными мерами безопасности: переименованием каталогов core, manager и connectors. Закрыть от несанкционированного доступа служебные директории также настоятельно рекомендую.
Если сайт заражен, проведите его восстановление их архива, созданного до 19 июля и срочно-срочно обновите сайт, до той же 2.6.5. В общем, смотри предыдущий абзац.
Нет архива? Печаль. Вспоминайте про день бэкапа. Недолго вспоминайте, сайт все равно надо восстанавливать. А вот про js-скрипты лучше забыть. Из них вытащить уцелевшее представляется невозможным, там происходит замена содержимого всего файла. Если скрипты можно скачать у разработчика, не страшно, если они самописные, тогда… Пытайтесь восстановить из памяти или старых заначек))).
Зараженные php-файлы (бэкдоры) можно найти по дате модификации (изменения). Обратите внимание на index.php там, где их быть не должно, cache.php, accesson.php, dbs.php.
Но по моему мнению, проще и надежнее сделать обычную переустановку MODX, сделав сначала бэкап, пусть даже с вирусней, так на всякий пожарный, и скопировав конфигурационный файлы:
- config.core.php
- connectors/config.core.php
- core/config/config.inc.php
- manager/config.core.php
Затем следует удалить все файлы php и зараженные файлы .js. Загрузить сохраненные конфиг-файлы обратно, накатить/обновить MODX, переустановить имеющиеся компоненты.
Непременно ознакомьтесь с информацией об обновлении системы управления, да и в будущем про безопасность сайтов на MODX не забывайте.
- Подробнее о версии 2.6.5
- Как обновить MODX Revolution
При возникновении проблем, вопросов, а также если потребуется помощь, обращайтесь. Либо здесь, через форму обратной связи, либо в нашу «студию НиК». Обязательно поможем.
Быстрых, а главное, безопасных вам сайтов, друзья!
Ненавязчивая благодарность проекту
modxinfo.ru