我相信很多用過phpcms v9版本的開源代碼做過網(wǎng)站的站長或企業(yè)最煩惱的就是網(wǎng)站經(jīng)常被反復(fù)篡改入侵,導(dǎo)致快照收錄被劫持,收錄一些與網(wǎng)站不相關(guān)的內(nèi)容,黑客的攻擊手法也越來越高級,我們SINE安全在接到一個流量權(quán)重5的企業(yè)平臺網(wǎng)站求助,說網(wǎng)站總是反復(fù)被入侵攻擊篡改頁面,經(jīng)常在一些caches目錄下的配置文件進行篡改,導(dǎo)致快照內(nèi)容收錄一些灰色行業(yè)的標(biāo)題,網(wǎng)站快照的TDK頻繁被修改。
了解了客戶反映網(wǎng)站被黑的問題后,我們SINE安全立即成立了安全應(yīng)急響應(yīng)小組,讓客戶提供了服務(wù)器的遠程信息,客戶網(wǎng)站用的是單獨服務(wù)器linux系統(tǒng),對phpcms的網(wǎng)站進行了打包備份,然后下載到我們本地電腦上,由代碼審計技術(shù)進行人工代碼檢查,對每一個調(diào)用到的代碼都要仔細查找,對網(wǎng)站訪問的日志也進行了打包,把日志交給溯源部門的陳技術(shù)進行日志溯源分析,發(fā)現(xiàn)黑客是通過入侵后留在網(wǎng)站里的一句話木馬后門進行POST操作,而且編碼是加密的,具體的圖如下:
對good=后的值進行了解密,發(fā)現(xiàn)內(nèi)容為var_dump(copy("/api/2.txt","caches/caches_template/default/match/nork.php"));這句話的意思是拷貝api目錄下的2.txt內(nèi)容復(fù)制到caches/caches_template/default/match/目錄下的nork.php,發(fā)現(xiàn)黑客還利用系統(tǒng)漏洞進行提權(quán)執(zhí)行反向shell命令,說明這個黑客的技術(shù)非常高,對漏洞的利用出神入化,我們先來找下這個2.txt看下里面的內(nèi)容:
這個代碼的功能是,提交good的變量值為編碼,然后eval執(zhí)行,就可以上傳木馬后門進行篡改文件。黑客的手段真是高不可深,通過我們?nèi)斯さ拇a安全審計和日志溯源后,發(fā)現(xiàn)黑客是通過登錄phpcms的后臺,由于后臺登錄的用戶比較多,有些用戶存在一些弱密碼的口令,導(dǎo)致被黑客利用,登錄后臺后在模塊里插入了木馬,里面用phpcms的功能特性去執(zhí)行木馬后門,這個木馬后門可以繞過殺毒軟件和防火墻,客戶用的阿里云服務(wù)器,而且還買的云盾安全企業(yè)版防火墻,也還是照樣被入侵,因為軟件畢竟是輔助,軟件根本不知道代碼是如何寫的,以及是如何構(gòu)造的,所以防火墻只能是針對與一些普通黑客能有點效果,對于高級黑客是一點用都沒用,客戶白白花了冤枉錢,到最后還是找到我們SINE安全服務(wù)商來處理解決,知道問題的原因后,立即對網(wǎng)站后臺的登錄地址進行了安全加固,對數(shù)據(jù)庫也進行了安全審計,防止黑客利用數(shù)據(jù)庫表里的一句話木馬進行利用,也對phpcms v9版本的漏洞進行了人工代碼修復(fù)和安全加固,過濾一些非法函數(shù)的執(zhí)行與利用。
