Массовые взломы MODX Revolution.

Вроде как в новой версии движка 2.6.5, выпущенной сразу после обнаружения, это уже пофиксили, но расслабляться пока рано. Судя по информации в сети, взломанных сайтов реально очень много, взлом происходит явне не в ручном режиме и похоже поставлен на конвейер. Практически все ссылки на сайте заменяются вредоносным скриптом на различные казино, букмекерские конторы и прочий сомнительный сетевой мусор, короче перенаправляют на всякую шваль...

Как восстановить сайт на MODX Revolution после взлома и обезопасить его?
Лучшим вариантом, безусловно, будет восстановление сайта из бекапа (но не самый надежный, самый надежный это разобрать конкрено, каждый случай и исправлять уже взломанный сайт так как не будет патери данных а так же вероятность в 99% восстановить 100% функционал сайта) и обновление его до последней версии 2.6.5 и все дополнения. Далее я бы посоветовал проверить все используемые на сайте js-файлы, так как в большинстве случаев они заманены вредоносным кодом.

Если более-менее актуального бэкапа нет, то придётся чистить вручную. В корне сайта, а также некоторых вложенных папках можно легко обнаружить зараженные php-файлы (бэкдоры). Я бы просто переименовал все имеющиеся в корне каталоги и залил последнюю версию движка. После чего скопировал оттуда файлы настроек:

config.core.php
connectors/config.core.php
core/config/config.inc.php
manager/config.core.php

 По большому счёту это обычная ручная переустановка движка MODX - тут нет ничего необычного. Если возникают вопросы, можете задавать их к комментариях (правда не уверен что смогу оперативно ответить, так как сейчас в отпуске). К счастью, база данных от действий злоумышленников не страдает (во всяком случае сообщения об этом не встречались).

ОБЯЗАТЕЛЬНО проверяйте все js-файлы на сайте, так как они страдают в первую очередь
В каталоге /assets/images/ так же, с большой вероятностью, можно обнаружить зараженные php-файлы.

После восстановления работоспособности сайта я бы посоветовал на какое-то время убрать права записи с для корневого каталога и файлов в нём, а также каталога с шаблоном сайта и всех js-скриптов. Таким образом на каталогах будут права 0500, а на файлах 0400

Таким образом, даже при наличии уязвимости, у вредоносного скрипта не будет возможности внести изменения в код сайта и позволит снизить риски до выхода надежных заплаток.

Тут главное не переборщить с запретами, например каталогу /core/cache нужны права на запись, иначе MODX просто не сможет записать и сбросить кеш. Также следует оставить права записи на каталог /assets/components/phpthumbof/cache/, иначе не смогут создаваться превьюшки. , можно будет снизить меры.

Напоследок приведу одну полезную команду для поиска последних модифицированных файлов за 3 дня (хотя в данном случае она бесполезна, так как скрипт изменяет дату создаваемых файлов):

find -type f -mtime -3