聚合支付平臺安全防護以及訂單被攻擊篡改的應急方案

臨近春節，某聚合支付平臺被攻擊篡改，導致客戶提現銀行卡資訊被修改，支付訂單被惡意回撥，回撥API介面的資料也被篡改，使用者管理後臺被任意登入，商戶以及碼商的訂單被自動確認導致金額損失超過幾十萬，平臺被攻擊的徹底沒辦法了，透過朋友介紹，找到我們SINE安全公司尋求網站安全防護支援，針對客戶支付通道並聚合支付網站目前發生被網站攻擊，被篡改的問題，我們立即成立了網站安全應急響應小組，分析問題，找到漏洞根源，防止攻擊篡改，將客戶的損失降到最低。

我們將這次安全處理的解決過程分享出來，也是希望整個支付平臺更加的安全。首先對接到客戶這面，我們Sinesafe安排了幾位從業十年的安全工程師來負責解決此次聚合支付平臺被攻擊，篡改的安全問題，瞭解客戶支付網站目前發生的症狀以及支付存在哪些漏洞，客戶說支付平臺運營一個月時出現過這些問題，然後在運營的第二個月陸續出現幾次被攻擊篡改的情況，客戶自己的技術根據網站日誌分析進攻路線排查加以封堵後，後續兩個月支付均未被攻擊,就在最近快過年的這幾天，支付訂單被篡改，很多未支付的訂單竟然被篡改為成功支付，並從通道返回成功資料，導致平臺損失較大，隨即對支付通道進行了暫停，並聯系碼商停止支付介面。客戶還反映支付連結被劫持，跳轉到別人那去了，導致很多支付的訂單都被支付到攻擊者的賬戶中去了，損失簡直不可言語。

很多商戶以及集團使用聚合支付平臺，那麼損失的就是商戶與支付平臺這兩家，商戶有些時候對小金額的訂單並沒有詳細的檢查，包括支付平臺也未對一些小金額的訂單仔細的審計，導致攻擊者混淆視線模擬正常的支付過程來篡改訂單狀態達到獲取自己利益的目的。支付通道對接，回撥下發都是秒級的，支付訂單併發太大，幾乎人工根本察覺不到資金被盜走，客戶從通道對比聚合支付的總賬，發現金額不對等，這才意識到網站被黑，被入侵了。

接下來我們開始對客戶的網站程式碼，以及伺服器進行全面的人工安全審計，檢測網站目前存在的漏洞以及程式碼後門，客戶網站使用的是thinkphp+mysql資料庫架構，伺服器系統是linux centos使用寶塔皮膚作為伺服器的管理，我們打包壓縮了一份完整的聚合支付原始碼，包括網站進1個月的訪問日誌也進行了壓縮，下載到我們SINE安全工程師的本地電腦，透過我們工程師的一系列安全檢測與日誌的溯源追蹤，發現了問題。網站存在木馬後門也叫webshell，在檔案上傳目錄裡發現的，redmin.php的PHP指令碼木馬，還有coninc.php資料庫管理的木馬後門，如下圖所示：

這個資料庫木馬後門的作用是可以對資料庫的表段進行修改，透過檢查日誌發現訂單支付狀態被修改的原因就是透過這個資料庫木馬後門進行的，對未支付的訂單狀態進行了資料庫的修改，繞過上游通道的回撥介面資料返回，直接將狀態改為支付成功，並返回到商戶那面將充值金額加到了客戶網站上，攻擊者直接在客戶網站上消費並提現，所有的損失都由支付平臺承擔了。我們SINE安全技術緊接著對支付提交功能程式碼進行安全審計的時候發現存在SQL隱碼攻擊漏洞，可以UPDATE 惡意程式碼到資料庫中執行，導致可以修改資料庫的內容，並生成遠端程式碼下載到網站根目錄下，生成webshell檔案，TP架構本身也存在著遠端程式碼執行漏洞，導致此次網站被攻擊被篡改的根源就在於此，我們立即對該網站漏洞，也算是TP框架漏洞進行了修復，對網站檔案目錄做了防篡改安全部署，禁止任何PHP檔案的生成。

繼續安全檢測我們發現客戶網站的商戶以及碼商用到的使用者登陸功能存在任意登入漏洞，程式設計師在寫程式碼的過程中未對使用者的狀態進行判斷，導致使用者後臺被隨意登入，攻擊者可以登陸後臺去確認未支付的訂單，直接將訂單設為支付成功並返回到商戶網站中去，來實現資金的盜取。我們對客戶的後臺登陸功能進行了修復，對使用者的所屬許可權進行判斷，以及資料庫密碼的效驗。至此我們SINE安全技術清除了所有支付平臺裡存在的木馬後門檔案，包括網站漏洞都進行了全面的修復，對網站進行全面的加固與防禦，如果您的聚合支付，或者是支付通道系統出現被篡改，被攻擊的問題，建議找專業的網站安全公司來解決處理，國內SINESAFE,啟明星辰，綠盟，深信服都是國內比較專業的，也希望我們這次的安全問題處理過程分享，能讓支付平臺的網路安全更上一層，平臺越安全，我們的支付越安全，資金也就越安全。