我相信很多用過phpcms v9版本的開源代碼做過網站的站長或企業最煩惱的就是網站經常被反復篡改入侵,導致快照收錄被劫持,收錄一些與網站不相關的內容,黑客的攻擊手法也越來越高級,我們SINE安全在接到一個流量權重5的企業平臺網站求助,說網站總是反復被入侵攻擊篡改頁面,經常在一些caches目錄下的配置文件進行篡改,導致快照內容收錄一些灰色行業的標題,網站快照的TDK頻繁被修改。
了解了客戶反映網站被黑的問題后,我們SINE安全立即成立了安全應急響應小組,讓客戶提供了服務器的遠程信息,客戶網站用的是單獨服務器linux系統,對phpcms的網站進行了打包備份,然后下載到我們本地電腦上,由代碼審計技術進行人工代碼檢查,對每一個調用到的代碼都要仔細查找,對網站訪問的日志也進行了打包,把日志交給溯源部門的陳技術進行日志溯源分析,發現黑客是通過入侵后留在網站里的一句話木馬后門進行POST操作,而且編碼是加密的,具體的圖如下:
對good=后的值進行了解密,發現內容為var_dump(copy("/api/2.txt","caches/caches_template/default/match/nork.php"));這句話的意思是拷貝api目錄下的2.txt內容復制到caches/caches_template/default/match/目錄下的nork.php,發現黑客還利用系統漏洞進行提權執行反向shell命令,說明這個黑客的技術非常高,對漏洞的利用出神入化,我們先來找下這個2.txt看下里面的內容:
這個代碼的功能是,提交good的變量值為編碼,然后eval執行,就可以上傳木馬后門進行篡改文件。黑客的手段真是高不可深,通過我們人工的代碼安全審計和日志溯源后,發現黑客是通過登錄phpcms的后臺,由于后臺登錄的用戶比較多,有些用戶存在一些弱密碼的口令,導致被黑客利用,登錄后臺后在模塊里插入了木馬,里面用phpcms的功能特性去執行木馬后門,這個木馬后門可以繞過殺毒軟件和防火墻,客戶用的阿里云服務器,而且還買的云盾安全企業版防火墻,也還是照樣被入侵,因為軟件畢竟是輔助,軟件根本不知道代碼是如何寫的,以及是如何構造的,所以防火墻只能是針對與一些普通黑客能有點效果,對于高級黑客是一點用都沒用,客戶白白花了冤枉錢,到最后還是找到我們SINE安全服務商來處理解決,知道問題的原因后,立即對網站后臺的登錄地址進行了安全加固,對數據庫也進行了安全審計,防止黑客利用數據庫表里的一句話木馬進行利用,也對phpcms v9版本的漏洞進行了人工代碼修復和安全加固,過濾一些非法函數的執行與利用。
