MODX JAPAN

私が運営しているMODXサイトが改ざんされ、マルウェアらしき不審なコードが仕込まれていました。サーバ会社から連絡を受け、以下の対策を実行しました。未だに原因不明ですが、MODXサイトオーナーの皆さんへの注意喚起のために現象と対策を共有します。

現象
manager/includes/mod_foot.php が新たに書き込まれ、manager/includes/protect.inc.php 等のファイルが改ざんされた。

対策
まずMODXサイトにmod_foot.phpなるファイルがないか確認しましょう。もしあれば、上記3つのファイルの拡張子を.txtに書き換えてPHPが実行されないようにしておきます。古いバージョンのMODXだと、この時点でサイトにも管理画面にもアクセスできなくなります。

いくつかのPHPファイルの1行目に下記のコードがないか確認しましょう。
（同じMODXでもサイトによって改ざんされるファイルが異なります。） protect.inc.phpの111～158行目に下記のコードで始まるコードがないか確認しましょう。（バックドア型マルウェアの一部かもしれないため、全コードの掲載は差し控えました。） 上記があれば、サイト改ざんは間違いありません。直ちに、これら3つのファイルを削除しましょう。続けて、サーバの管理画面とFTPの管理画面のパスワードを書き換えます。

http://modx.jp/download/download_evo.htmlから最新のMODXのプログラムをダウンロードして、アップデートの準備をしておきます。

config.inc.php等の設定データ、assets/templates下のテンプレートデータ、content/images下の画像など自作データがローカルPCにバックアップしてあることを確認します。

最後に、FTPで改ざんされたMODXサイト全体をサーバから削除し、最新のMODXのプログラムと上記のバックアップデータをアップロードして、MODXを最新版にアップデートします。念のため、管理画面のパスワードも変更しておきましょう。

以上、ご参考まで。

サイトに仕込まれたマルウェアは、パソコン用のアンチウイルスソフトで精密に検査・駆除できます。念のため、サーバ上の全ファイルをダウンロードして検査すると安心だと思います。
ガンブラー手法で感染させられることも多いので、サイト管理に用いているパソコンは念入りに検査したほうがいいかもしれません。

全ファイルをダウンロードしてアンチウィルスソフトでクイックスキャンをかけてみましたが、何の反応もありませんでした。
その後、フルスキャンをかけたところ、バックドア型マルウェアが検出されました。
https://www.microsoft.com/security/port ... %2FSmall.D
ご忠告いただきましてありがとうございました。

protect.inc.phpを狙う事例について気になる方がいらっしゃると思いますので、こちらの件、追記です。
1.0.15Jではprotect.inc.phpを使いませんので、もし仮にまたprotect.inc.phpが改ざんされてもトラップが発動することはありません。そういう意味では多少安心かと思います(※不正侵入を許してしまっていることには違いないですが)。1.0.15Jは基本的なページ表示処理の流れで呼び出されるファイルの構成が変わっているので、既存の攻撃ノウハウがそのまま使えず、その点でもリスクが減ります。

狙う側としては、たまたまprotect.inc.phpを標的に選んだだけで、改竄候補となるファイルは他にもありますので、基本的な改竄対策は必要です。

自分の所持環境で同等の事例発生しました。
情報役に立ちました。ありがとうございます