Da wird der eine oder andere User schön aus allen Wolken fallen fallen wenn der Provider sich bei ihm meldet und ihm mitteilt das sein Server btw zur Spamschleuder mutiert ist. Schon seit Wochen wurden die User und Admins von ModX gewarnt die Datei snippet.reflect.php aus den Verzeichnissen zu entfernen. Was passiert wenn man das nicht tut erfahrt ihr hier……
hack_attack.jpg
Die hacker sind auf der Sache nach folgenden Lücken. Die snippet.reflect.php und eine ModX Installation mit Maxigallery. Warum das?
Weil das Maxigallery Plugin in alten Versionen noch Register Globals on benötigt.
Bekanntlich ist das ja an sich schon sehr gefährlich.

Auf jeden Fall werden mit dieser Konfiguration zur echten Angriffsfläche.Da wird dann eine Datei die envia.php heißt in die Maxigallery eingeschleust und agiert gemeinsam mit dem PHP mailer und versendet tausende von Spam Mails.

Wem dies passiert ist der durchsuche seinen Ordner /galleries und alle Unterordner und die Snippets/Maxigallery nach der Datei envia.php.Der Hacker der diese Methode verwendete stammt aus Italien. Es geht aber auch anders.
Empfohlen ist alte Dateien vor dem Upgrade löschen!
Solange die Maxigallery nicht ohne Register Globals off läuft und auch nicht im safe mode würde ich von dieser Variante der Modx Gallery abraten, solange der Author der Software das nicht nachbessert.

Und ganz dringend alle alten Dateien vor einem Upgrade von ModX löschen, weil die snippet.reflect nicht automatisch verschwindet und dann schnell ein Update von ModX auf 0.9.6.3.