Александр Ф.
35 лет, Россия
2268 сообщений
#4 месяца назад
Всем владельцам модх - срочно откатывайте сайты бекапом до 18 (а лучше до 12 июля) и делайте обновление 2.6.5
Ломают сайты, запускают тяжелые скрипты. Дополнения перестают работать, админки логи не показывают.
Владимир Ребров
33 года, Россия
2936 сообщений
#4 месяца назад
Наконец-то дошли руки у хацкеров и до MODX) Вордпрессы с джумлами надоели) Вернее, наконец-то получилось)
Проверил сегодня порядка 20 сайтов. Следов взлома нет.  Откатывать смысла нет, если не взломали - нужно просто обновиться до 2.6.5. 
И, что самое главное, - грамотно настроить безопасность (права, расположение каталогов, их название, кто-то вообще базовую аутентификацию на manager, core и connectors ставит), тогда и взломать будет труднее. На порядок. 
Кстати, вроде уязвимость в компоненте Gallery. Если его еще кто-то использует, то, наверное, могут быть проблемы.
Жандос Мукатаев
21 год, Казахстан
137 сообщений
#4 месяца назад
regado, И пользуется же кто то ModX, когда есть Вордпресс + Вукоммерц. Уникумы ))
Владимир Ребров
33 года, Россия
2936 сообщений
#4 месяца назад
Цитата (zhandosweb):
И пользуется же кто то ModX, когда есть Вордпресс + Вукоммерц. Уникумы ))
Когда я одному своему знакомому-вордпресснику показал, как на MODX делаются некоторые вещи, то он был весьма удивлен, что такое вообще возможно на CMS. WP жутко негибкий. А MODX - это CMF. Но из-за этого порог входа у MODX значительно выше, это правда. MODX используют те, для кого WordPress - слишком CMS) Это ответ на ваш вопрос.
Но тема вроде открыта не ради очередного холивара "моя CMS лучче всех"

PS Кстати, о массовых взломах))
http://joxi.ru/LmGV0knseQDZnr
Александр Ф.
35 лет, Россия
2268 сообщений
#4 месяца назад
revladov, возможно в галерее. Заметил пока так: 2.5.5 и выше еще держится. А вот то что ниже уже сломано. Галерея практически везде. Свежеобновленных эволюшен не касается.
zhandosweb, я пользуюсь и тем и этим. Но это не значит что одно другого лучше.
Оффтопик
И уж что то, а вордпресс ломают намного чаще, и она распространена сильнее. Что уж говорить - ломают все, я долго верил как наивный дурак что линукс не ломануть, пока одна девчина хакерша не сломала на несколько секунд минут свеже установленный какой то юникс подобный систем. Да и тот же макос, оказывается сколько лет содержал в себе простую уязвимость. Все это оффтоп.


Насчет взломов - помнится что модх не ломали лет 10 и больше, потом пошло. Клиенты были весьма растеряны, как так говорили они - мы 11 лет работали и ни разу не ломали. У популярности CMF есть своя сторона медали )
Владимир Ребров
33 года, Россия
2936 сообщений
#4 месяца назад
Цитата (regado):
Заметил пока так: 2.5.5 и выше еще держится.
Ну у меня почти все сайты были выше 2.5.5. Кроме по-моему двух.
От Gallery нужно отказываться. Есть офигенский ms2Gallery, который и удобнее, но, что самое главное, - в разы быстрее из-за того, что превьюшки всех нужных размеров генерятся при загрузке фото на сервер. Плюс возможность загрузки с фронтенда.
Олег Медведь
33 года, Украина
101 сообщение
#4 месяца назад
Цитата (revladov):
Когда я одному своему знакомому-вордпресснику показал, как на MODX делаются некоторые вещи, то он был весьма удивлен, что такое вообще возможно на CMS. WP жутко негибкий.
а можно мне показать?) я никогда не работал с MODX, но на WP за 5 лет переделал много всего и все же считаю его очень гибким, поэтому просто интересно. Сори что не совсем по теме топика пост. 
Андрей В.
26 лет, Украина
726 сообщений
#4 месяца назад
oleg_d, так а что мешает скачать\установить\зайти в админку пощупать... в крайне-ленивом случ. видосы глянуть?
Сравнивать модэкс и вордпрес, это как сравнивать молоток и топор -- гвозди забить можно и тем и другим...
Николай С.
29 лет, США
281 сообщение
#4 месяца назад
oleg_d, а DLE ещё лучше.
Владимир Ребров
33 года, Россия
2936 сообщений
#4 месяца назад
1) Судя по поступившей информации, действительно взламывают сайты, которые не обновлялись более двух лет, т.е. данная уязвимость на уровне ядра была пофиксена еще на версии 2.5.1. 
2) Вне зависимости от версии, возможно заражение через дыру в древнем компоненте Gallery. Оказывается его еще используют. Взлом идёт через коннектор phpthumb. Вроде как фикс тоже уже есть в версии компонента 1.7.1.
3) У коллеги 11 сайтов - на поддержке и свои. На 5 стоит Gallery. Но он ответственно отнесся к безопасности - переименовал папки ядра и грамотно закрыл доступ. Следов взлома нет.
Олег Медведь
33 года, Украина
101 сообщение
#4 месяца назад
Цитата (Vakarchuk):
Сравнивать модэкс и вордпрес, это как сравнивать молоток и топор -- гвозди забить можно и тем и другим...
Ответить
Та вроде не сравниваем же. Просто интересно мнение живого человека, который работает с этой cms и наверняка может (если хочет конечно) обозначить те самые явные преимущества о которых он говорил
Владимир Ребров
33 года, Россия
2936 сообщений
#4 месяца назад
oleg_d, написал в личку.
Дмитрий Шпак
38 лет, Россия
189 сообщений
#4 месяца назад
Нраматно на centos настраиваю SELinux, и люди вообще о всякой хрени не парятся
Александр Ф.
35 лет, Россия
2268 сообщений
#4 месяца назад
DimaShpak, и что даже сайты не ломаются после этого? Я не настолько спец в админстве серверов, но что то мне подсказывает что дорога - это одно, а сломать автомобиль по этой же дороге - другое. А если еще в автомобиле крыша открытая (это о дыре галереи), то магнитола долго не пролежит ))
Александр Ф.
35 лет, Россия
2268 сообщений
#4 месяца назад
Жаль, что Дмитрий не отвечает на поставленный вопрос, действительно важно понять, так ли это - что настроенный селинукс способен творить чудеса? Мне один заказчик прямым текстом ответил, что считает моей обязанностью апдейтить сайты от дыр, ссылаясь на вовремя оплаченную услугу хостинга. Правда я в своей практике не встречал таких гуманных хостеров. Встречал что банили и даже не уведомляли, встречал что ограничивали и уведомляли. Но вот чтобы чинили за бесплатно не встречал.
Владимир Ребров
33 года, Россия
2936 сообщений
#4 месяца назад
Цитата (regado):
Мне один заказчик прямым текстом ответил, что считает моей обязанностью апдейтить сайты от дыр
Ха!) Мне написал заказчик, которому я делал сайт 3 года назад, с твердым убеждением, что я должен бесплатно почистить его сайт, обновить версию MODX и далее по списку. Вот бы еще на технику такую гарантию давали: через 3 года от скачка напряжения сгорел телек - не беда, в сервисе починят бесплатно )
Александр Ф.
35 лет, Россия
2268 сообщений
#4 месяца назад
revladov, я знал что не одинок в таких заказчиках )))
Оффтопик
Но бывает еще лучше, когда заказчик через лет 6 с момента создания сайта в другой компании, спрашивает меня - слушай, я столько денег вложил в сайт, ну как столько - ну шестерку хватит купить, ну так вот - как думаешь его можно кому нибудь продать? ))) В тот момент времени не были распространены биржи сайтов, и эта мысль выглядела неким супер предпринимательским жестом.
Андрей В.
26 лет, Украина
726 сообщений
#4 месяца назад
Цитата:
я знал что не одинок в таких заказчиках
Приложения:
  • 43 КБ
Сергей С.
42 года, Россия
411 сообщений
#4 месяца назад
zhandosweb, уникумы - это те кто делает интернет магазины на wp, когда есть специализированные решения на 100 голов выше.
Александр Ф.
35 лет, Россия
2268 сообщений
#4 месяца назад
Оффтопик
Vakarchuk, Мария видимо решила, что он там совсем мало сделал, раз они требуют в 5 раз больше чем он получил. В любом случае весело.