2020年刚开始,苹果CMS被爆出数值数据库代码执行漏洞,大量的电影网站站点被挂马,尤其电影的网站页面被篡改植入了恶意代码,数值数据库中的VOD表里的d_name被全部调整修改,导致网站站点打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的苹果系统版本是V8,V10,很多客户使用者网站站点被反复篡改,很无奈,通过朋友介绍找到我们SINE安全寻求技术上支持,防止网站站点被挂马。根据客户使用者的反应,we服务器采用的是linux centos系统,苹果CMS版本是最新的V10版本,我们立即成立网站站点安全应急响应处理,帮助客户使用者解决网站站点被攻击的问题。
首先很多站长以为升级了苹果CMS官方最新的漏洞补丁就没问题了,通过我们SINE安全技术对补丁的代码安全分析发现,该漏洞补丁对当前的数值数据库代码执行漏洞是没有任何结果效果的,于事无补,网站站点还会继续被攻击。
我们来看下客户使用者网站站点目前发生的挂马问题,打开网站站点首页以及各个电影地址都会被插入挂马代码,如下图所示:
打包压缩了一份网站站点源代码,以及nginx网站站点日志文件,我们SINE安全工程师在根目录下发现被上传了网站站点webshell木马文件,通过网站站点日志溯源追踪我们查看到浏览访问这个PHP脚本木马文件的是一个韩国的IP,具体的代码如下图:
代码做了加密处理,我们SINE安全对其解密发现该代码的功能可以对网站站点进行上传,下载,调整修改代码,操作数值数据库等功能,属于PHP大马的范畴,也叫webshell木马文件,我们又对苹果CMS的源代码进行了人工安全审计,发现index.php代码对检索搜索模块上做的一些恶意代码过滤检查存在漏洞,可导致攻击者绕过安全过滤,直接将SQL插入代码执行到数值数据库当中去。
我们对数值数据库进行安全检测发现,在VOD表的d_name被批量植入了挂马代码:
<script src=:168/ua80666/"',500)}
这手法很专业,不是一般的攻击者所为,针对移动端手机端做了跳转以及隐藏嵌入,让网站维护网站运营者根本无法察觉发现,还判断了cookies来路,达到条件才能触发攻击者植入的广告代码。继续安全分析与追踪,发现了攻击者的手法,POST提交到/index.php
版权说明:Copyright © 广州京杭网络科技有限公司 2005-2025 版权所有 粤ICP备16019765号
广州京杭网络科技有限公司 版权所有
免费热线:400-683-0016
扫二维码关注公众号
当前位置: