我相信很多用過(guò)phpcms v9版本的開(kāi)源代碼做過(guò)網(wǎng)站的站長(zhǎng)或企業(yè)最煩惱的就是網(wǎng)站經(jīng)常被反復(fù)篡改入侵,導(dǎo)致快照收錄被劫持,收錄一些與網(wǎng)站不相關(guān)的內(nèi)容,黑客的攻擊手法也越來(lái)越高級(jí),我們SINE安全在接到一個(gè)流量權(quán)重5的企業(yè)平臺(tái)網(wǎng)站求助,說(shuō)網(wǎng)站總是反復(fù)被入侵攻擊篡改頁(yè)面,經(jīng)常在一些caches目錄下的配置文件進(jìn)行篡改,導(dǎo)致快照內(nèi)容收錄一些灰色行業(yè)的標(biāo)題,網(wǎng)站快照的TDK頻繁被修改。
了解了客戶反映網(wǎng)站被黑的問(wèn)題后,我們SINE安全立即成立了安全應(yīng)急響應(yīng)小組,讓客戶提供了服務(wù)器的遠(yuǎn)程信息,客戶網(wǎng)站用的是單獨(dú)服務(wù)器linux系統(tǒng),對(duì)phpcms的網(wǎng)站進(jìn)行了打包備份,然后下載到我們本地電腦上,由代碼審計(jì)技術(shù)進(jìn)行人工代碼檢查,對(duì)每一個(gè)調(diào)用到的代碼都要仔細(xì)查找,對(duì)網(wǎng)站訪問(wèn)的日志也進(jìn)行了打包,把日志交給溯源部門的陳技術(shù)進(jìn)行日志溯源分析,發(fā)現(xiàn)黑客是通過(guò)入侵后留在網(wǎng)站里的一句話木馬后門進(jìn)行POST操作,而且編碼是加密的,具體的圖如下:
對(duì)good=后的值進(jìn)行了解密,發(fā)現(xiàn)內(nèi)容為var_dump(copy("/api/2.txt","caches/caches_template/default/match/nork.php"));這句話的意思是拷貝api目錄下的2.txt內(nèi)容復(fù)制到caches/caches_template/default/match/目錄下的nork.php,發(fā)現(xiàn)黑客還利用系統(tǒng)漏洞進(jìn)行提權(quán)執(zhí)行反向shell命令,說(shuō)明這個(gè)黑客的技術(shù)非常高,對(duì)漏洞的利用出神入化,我們先來(lái)找下這個(gè)2.txt看下里面的內(nèi)容:
這個(gè)代碼的功能是,提交good的變量值為編碼,然后eval執(zhí)行,就可以上傳木馬后門進(jìn)行篡改文件。黑客的手段真是高不可深,通過(guò)我們?nèi)斯さ拇a安全審計(jì)和日志溯源后,發(fā)現(xiàn)黑客是通過(guò)登錄phpcms的后臺(tái),由于后臺(tái)登錄的用戶比較多,有些用戶存在一些弱密碼的口令,導(dǎo)致被黑客利用,登錄后臺(tái)后在模塊里插入了木馬,里面用phpcms的功能特性去執(zhí)行木馬后門,這個(gè)木馬后門可以繞過(guò)殺毒軟件和防火墻,客戶用的阿里云服務(wù)器,而且還買的云盾安全企業(yè)版防火墻,也還是照樣被入侵,因?yàn)檐浖吘故禽o助,軟件根本不知道代碼是如何寫的,以及是如何構(gòu)造的,所以防火墻只能是針對(duì)與一些普通黑客能有點(diǎn)效果,對(duì)于高級(jí)黑客是一點(diǎn)用都沒(méi)用,客戶白白花了冤枉錢,到最后還是找到我們SINE安全服務(wù)商來(lái)處理解決,知道問(wèn)題的原因后,立即對(duì)網(wǎng)站后臺(tái)的登錄地址進(jìn)行了安全加固,對(duì)數(shù)據(jù)庫(kù)也進(jìn)行了安全審計(jì),防止黑客利用數(shù)據(jù)庫(kù)表里的一句話木馬進(jìn)行利用,也對(duì)phpcms v9版本的漏洞進(jìn)行了人工代碼修復(fù)和安全加固,過(guò)濾一些非法函數(shù)的執(zhí)行與利用。
