Александр Ф.
3318 сообщений
#5 лет назад
Всем владельцам модх - срочно откатывайте сайты бекапом до 18 (а лучше до 12 июля) и делайте обновление 2.6.5
Ломают сайты, запускают тяжелые скрипты. Дополнения перестают работать, админки логи не показывают.
Владимир Р.
3315 сообщений
#5 лет назад
Наконец-то дошли руки у хацкеров и до MODX) Вордпрессы с джумлами надоели) Вернее, наконец-то получилось)
Проверил сегодня порядка 20 сайтов. Следов взлома нет.  Откатывать смысла нет, если не взломали - нужно просто обновиться до 2.6.5. 
И, что самое главное, - грамотно настроить безопасность (права, расположение каталогов, их название, кто-то вообще базовую аутентификацию на manager, core и connectors ставит), тогда и взломать будет труднее. На порядок. 
Кстати, вроде уязвимость в компоненте Gallery. Если его еще кто-то использует, то, наверное, могут быть проблемы.
Жандос Мукатаев
145 сообщений
#5 лет назад
regado, И пользуется же кто то ModX, когда есть Вордпресс + Вукоммерц. Уникумы ))
Владимир Р.
3315 сообщений
#5 лет назад
Цитата (zhandosweb):
И пользуется же кто то ModX, когда есть Вордпресс + Вукоммерц. Уникумы ))
Когда я одному своему знакомому-вордпресснику показал, как на MODX делаются некоторые вещи, то он был весьма удивлен, что такое вообще возможно на CMS. WP жутко негибкий. А MODX - это CMF. Но из-за этого порог входа у MODX значительно выше, это правда. MODX используют те, для кого WordPress - слишком CMS) Это ответ на ваш вопрос.
Но тема вроде открыта не ради очередного холивара "моя CMS лучче всех"

PS Кстати, о массовых взломах))
Александр Ф.
3318 сообщений
#5 лет назад
revladov, возможно в галерее. Заметил пока так: 2.5.5 и выше еще держится. А вот то что ниже уже сломано. Галерея практически везде. Свежеобновленных эволюшен не касается.
zhandosweb, я пользуюсь и тем и этим. Но это не значит что одно другого лучше.
Оффтопик
И уж что то, а вордпресс ломают намного чаще, и она распространена сильнее. Что уж говорить - ломают все, я долго верил как наивный дурак что линукс не ломануть, пока одна девчина хакерша не сломала на несколько секунд минут свеже установленный какой то юникс подобный систем. Да и тот же макос, оказывается сколько лет содержал в себе простую уязвимость. Все это оффтоп.


Насчет взломов - помнится что модх не ломали лет 10 и больше, потом пошло. Клиенты были весьма растеряны, как так говорили они - мы 11 лет работали и ни разу не ломали. У популярности CMF есть своя сторона медали )
Владимир Р.
3315 сообщений
#5 лет назад
Цитата (regado):
Заметил пока так: 2.5.5 и выше еще держится.
Ну у меня почти все сайты были выше 2.5.5. Кроме по-моему двух.
От Gallery нужно отказываться. Есть офигенский ms2Gallery, который и удобнее, но, что самое главное, - в разы быстрее из-за того, что превьюшки всех нужных размеров генерятся при загрузке фото на сервер. Плюс возможность загрузки с фронтенда.
Олег Деримедведь
205 сообщений
#5 лет назад
Цитата (revladov):
Когда я одному своему знакомому-вордпресснику показал, как на MODX делаются некоторые вещи, то он был весьма удивлен, что такое вообще возможно на CMS. WP жутко негибкий.
а можно мне показать?) я никогда не работал с MODX, но на WP за 5 лет переделал много всего и все же считаю его очень гибким, поэтому просто интересно. Сори что не совсем по теме топика пост. 
Андрей В.
1205 сообщений
#5 лет назад
oleg_d, так а что мешает скачать\установить\зайти в админку пощупать... в крайне-ленивом случ. видосы глянуть?
Сравнивать модэкс и вордпрес, это как сравнивать молоток и топор -- гвозди забить можно и тем и другим...
Николай С.
323 сообщения
#5 лет назад
oleg_d, а DLE ещё лучше.
Владимир Р.
3315 сообщений
#5 лет назад
1) Судя по поступившей информации, действительно взламывают сайты, которые не обновлялись более двух лет, т.е. данная уязвимость на уровне ядра была пофиксена еще на версии 2.5.1. 
2) Вне зависимости от версии, возможно заражение через дыру в древнем компоненте Gallery. Оказывается его еще используют. Взлом идёт через коннектор phpthumb. Вроде как фикс тоже уже есть в версии компонента 1.7.1.
3) У коллеги 11 сайтов - на поддержке и свои. На 5 стоит Gallery. Но он ответственно отнесся к безопасности - переименовал папки ядра и грамотно закрыл доступ. Следов взлома нет.
Олег Деримедведь
205 сообщений
#5 лет назад
Цитата (Vakarchuk):
Сравнивать модэкс и вордпрес, это как сравнивать молоток и топор -- гвозди забить можно и тем и другим...
Ответить
Та вроде не сравниваем же. Просто интересно мнение живого человека, который работает с этой cms и наверняка может (если хочет конечно) обозначить те самые явные преимущества о которых он говорил
Владимир Р.
3315 сообщений
#5 лет назад
oleg_d, написал в личку.
Дмитрий Ш.
357 сообщений
#5 лет назад
Нраматно на centos настраиваю SELinux, и люди вообще о всякой хрени не парятся
Александр Ф.
3318 сообщений
#5 лет назад
DimaShpak, и что даже сайты не ломаются после этого? Я не настолько спец в админстве серверов, но что то мне подсказывает что дорога - это одно, а сломать автомобиль по этой же дороге - другое. А если еще в автомобиле крыша открытая (это о дыре галереи), то магнитола долго не пролежит ))
Александр Ф.
3318 сообщений
#5 лет назад
Жаль, что Дмитрий не отвечает на поставленный вопрос, действительно важно понять, так ли это - что настроенный селинукс способен творить чудеса? Мне один заказчик прямым текстом ответил, что считает моей обязанностью апдейтить сайты от дыр, ссылаясь на вовремя оплаченную услугу хостинга. Правда я в своей практике не встречал таких гуманных хостеров. Встречал что банили и даже не уведомляли, встречал что ограничивали и уведомляли. Но вот чтобы чинили за бесплатно не встречал.
Владимир Р.
3315 сообщений
#5 лет назад
Цитата (regado):
Мне один заказчик прямым текстом ответил, что считает моей обязанностью апдейтить сайты от дыр
Ха!) Мне написал заказчик, которому я делал сайт 3 года назад, с твердым убеждением, что я должен бесплатно почистить его сайт, обновить версию MODX и далее по списку. Вот бы еще на технику такую гарантию давали: через 3 года от скачка напряжения сгорел телек - не беда, в сервисе починят бесплатно )
Александр Ф.
3318 сообщений
#5 лет назад
revladov, я знал что не одинок в таких заказчиках )))
Оффтопик
Но бывает еще лучше, когда заказчик через лет 6 с момента создания сайта в другой компании, спрашивает меня - слушай, я столько денег вложил в сайт, ну как столько - ну шестерку хватит купить, ну так вот - как думаешь его можно кому нибудь продать? ))) В тот момент времени не были распространены биржи сайтов, и эта мысль выглядела неким супер предпринимательским жестом.
Андрей В.
1205 сообщений
#5 лет назад
Цитата:
я знал что не одинок в таких заказчиках
Приложения:
  • 43 КБ
Сергей С.
441 сообщение
#5 лет назад
zhandosweb, уникумы - это те кто делает интернет магазины на wp, когда есть специализированные решения на 100 голов выше.
Александр Ф.
3318 сообщений
#5 лет назад
Оффтопик
Vakarchuk, Мария видимо решила, что он там совсем мало сделал, раз они требуют в 5 раз больше чем он получил. В любом случае весело.