阿里云優(yōu)惠券 先領(lǐng)券再下單

2020年剛開始，蘋果CMS被爆出數(shù)據(jù)庫(kù)代碼執(zhí)行漏洞，大量的電影網(wǎng)站被掛馬，尤其電影的頁(yè)面被篡改植入了惡意代碼，數(shù)據(jù)庫(kù)中的VOD表里的d_name被全部修改，導(dǎo)致網(wǎng)站打開后直接跳轉(zhuǎn)到S站或者彈窗廣告，目前該maccms漏洞受影響的蘋果系統(tǒng)版本是V8,V10，很多客戶網(wǎng)站被反復(fù)篡改，很無(wú)奈，通過(guò)朋友介紹找到我們SINE安全尋求技術(shù)上支持，防止網(wǎng)站被掛馬。根據(jù)客戶的反應(yīng)，服務(wù)器采用的是linux centos系統(tǒng)，蘋果CMS版本是最新的V10版本，我們立即成立網(wǎng)站安全應(yīng)急響應(yīng)處理，幫助客戶解決網(wǎng)站被攻擊的問(wèn)題。

首先很多站長(zhǎng)以為升級(jí)了蘋果CMS官方最新的漏洞補(bǔ)丁就沒問(wèn)題了，通過(guò)我們SINE安全技術(shù)對(duì)補(bǔ)丁的代碼安全分析發(fā)現(xiàn)，該漏洞補(bǔ)丁對(duì)當(dāng)前的數(shù)據(jù)庫(kù)代碼執(zhí)行漏洞是沒有任何效果的，于事無(wú)補(bǔ)，網(wǎng)站還會(huì)繼續(xù)被攻擊。

我們來(lái)看下客戶網(wǎng)站目前發(fā)生的掛馬問(wèn)題，打開網(wǎng)站首頁(yè)以及各個(gè)電影地址都會(huì)被插入掛馬代碼，如下圖所示：

打包壓縮了一份網(wǎng)站源代碼，以及nginx網(wǎng)站日志文件，我們SINE安全工程師在根目錄下發(fā)現(xiàn)被上傳了網(wǎng)站webshell木馬文件，通過(guò)網(wǎng)站日志溯源追蹤我們查看到訪問(wèn)這個(gè)PHP腳本木馬文件的是一個(gè)韓國(guó)的IP，具體的代碼如下圖：

代碼做了加密處理，我們SINE安全對(duì)其解密發(fā)現(xiàn)該代碼的功能可以對(duì)網(wǎng)站進(jìn)行上傳，下載，修改代碼，操作數(shù)據(jù)庫(kù)等功能，屬于PHP大馬的范疇，也叫webshell木馬文件，我們又對(duì)蘋果CMS的源代碼進(jìn)行了人工安全審計(jì)，發(fā)現(xiàn)index.php代碼對(duì)搜索模塊上做的一些惡意代碼過(guò)濾檢查存在漏洞，可導(dǎo)致攻擊者繞過(guò)安全過(guò)濾，直接將SQL插入代碼執(zhí)行到數(shù)據(jù)庫(kù)當(dāng)中去。

我們對(duì)數(shù)據(jù)庫(kù)進(jìn)行安全檢測(cè)發(fā)現(xiàn)，在VOD表的d_name被批量植入了掛馬代碼。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！