産品描述
2020年剛開始,蘋果CMS被爆出數據庫代碼執行漏洞,大量的電影網站被挂馬,尤其電影的頁面被篡改植入了惡意代碼,數據庫中的VOD表裏的d_name被全(quán)部修改,導緻網站打開後直接跳轉到S站或者彈窗廣告,目前該maccms漏洞受影響的蘋果系統版本是V8,V10,很多客戶網站被反複篡改,很無奈,通過朋友介紹找到我們SINE安全(quán)尋求技術上支持,防止網站被挂馬。根據客戶的反應,服務器采用的是linux centos系統,蘋果CMS版本是較新的V10版本,我們立即成立網站安全(quán)應急響應處理,幫助客戶解決網站被攻擊的問題。
首先很多站長以爲(wéi)升級了蘋果CMS官方較新的漏洞補丁就沒(méi)問題了,通過我們SINE安全(quán)技術對補丁的代碼安全(quán)分析發現,該漏洞補丁對當前的數據庫代碼執行漏洞是沒(méi)有任何效果的,于事無補,網站還會繼續被攻擊。
我們來看下客戶網站目前發生的挂馬問題,打開網站首頁以及各個(gè)電影地址都會被插入挂馬代碼,如下圖所示:
打包壓縮了一份網站源代碼,以及nginx網站日志文件,我們SINE安全(quán)滲透工程師在(zài)根目錄下發現被上傳了網站webshell木馬文件,通過網站日志溯源追蹤我們查看到訪問這個(gè)PHP腳本木馬文件的是一個(gè)韓國的IP,具體的代碼如下圖:
代碼做了加密處理,我們SINE安全(quán)對其解密發現該代碼的功(gōng)能可以對網站進行上傳,下載,修改代碼,操作(zuò)數據庫等功(gōng)能,屬于PHP大馬的範疇,也叫webshell木馬文件,我們又對蘋果CMS的源代碼進行了人工安全(quán)審計,發現index.php代碼對搜索模塊上做的一些惡意代碼過濾檢查存在(zài)漏洞,可導緻攻擊者繞過安全(quán)過濾,直接将SQL插入代碼執行到數據庫當中去。
我們對數據庫進行安全(quán)檢測發現,在(zài)VOD表的d_name被批量植入了挂馬代碼:
這手法很專業,不是一般的攻擊者所爲(wéi),針對手機端做了跳轉以及隐藏嵌入,讓網站運營者根本無法察覺發現,還判斷了cookies來路,達到條件才能觸發攻擊者植入的廣告代碼。繼續安全(quán)分析與(yǔ)追蹤,發現了攻擊者的手法,POST提交到/index.php?m=vod-search,POST内容是加密的這裏就不方便發出了,屬于漏洞攻擊了,可能會給其他使用蘋果CMS系統的網站造成攻擊,我們SINE安全(quán)技術對POST攻擊代碼進行了解密分析,發現确實是繞過了蘋果官方V8,V10系統的代碼安全(quán)過濾,直接将挂馬代碼插入到了數據庫裏了。
問題根源找到了,接下來我們對客戶的蘋果CMS漏洞進行修複,對POST提交過來的參數進行嚴格的過濾與(yǔ)轉義,對vod-search含有的惡意字符進行強制轉換,對惡意代碼進行安全(quán)攔截,防止傳入到後端進行數據庫裏的代碼執行。對網站代碼裏存在(zài)的木馬後門進行了全(quán)面的人工審計與(yǔ)檢查,共計發現5個(gè)後門,其餘的在(zài)緩存目錄當中,跟程序代碼混淆在(zài)一起,也都删除了,對網站的後台(tái)地址進行了更改,之前後台(tái)使用的地址被攻擊者掌握,對管理員的賬号密碼進行了加強,至此蘋果CMS網站被挂馬的問題才得以徹底解決,如果您的maccms也被一直挂馬,自己懂代碼的話可以對POST到index.php的數據進行安全(quán)攔截與(yǔ)檢查,防止惡意代碼的插入,如果不是太(tài)懂的話,建議找專業的網站安全(quán)公司來處理解決。
産品推薦