phpcms做的网站总是被植入木马后门快照劫持

PHP CMS V9网站被黑事件分析与解决方案
原创 于 2022-05-20 10:56:04 发布 · 560 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#phpcms漏洞 #phpcms被挂马入侵 #网站被植入木马后门

本文详述了一起PHP CMS V9网站遭受高级黑客攻击的案例。黑客通过篡改后台配置文件及利用系统漏洞执行恶意代码,导致网站内容被篡改。SINE安全团队进行了代码审计和日志溯源,发现黑客利用弱密码入侵并植入木马。解决方案包括加固后台登录、审计数据库、修复漏洞和过滤非法函数执行,确保网站安全。

我相信很多用过phpcms v9版本的开源代码做过网站的站长或企业最烦恼的就是网站经常被反复篡改入侵,导致快照收录被劫持,收录一些与网站不相关的内容,黑客的攻击手法也越来越高级,我们SINE安全在接到一个流量权重5的企业平台网站求助,说网站总是反复被入侵攻击篡改页面,经常在一些caches目录下的配置文件进行篡改,导致快照内容收录一些灰色行业的标题,网站快照的TDK频繁被修改。

了解了客户反应网站被黑的问题后,我们SINE安全立即成立了安全应急响应小组,让客户提供了服务器的远程信息,客户网站用的是单独服务器linux系统,对phpcms的网站进行了打包备份,然后下载到我们本地电脑上,由代码审计技术进行人工代码检查,对每一个调用到的代码都要仔细查找,对网站访问的日志也进行了打包,把日志交给溯源部门的陈技术进行日志溯源分析,发现黑客是通过入侵后留在网站里的一句话木马后门进行POST操作,而且编码是加密的,具体的图如下:

对good=后的值进行了解密,发现内容为var_dump(copy("/api/2.txt","caches/caches_template/default/match/nork.php"));这句话的意思是拷贝api目录下的2.txt内容复制到caches/caches_template/default/match/目录下的nork.php,发现黑客还利用系统漏洞进行提权执行反向shell命令,说明这个黑客的技术非常高,对漏洞的利用出神入化,我们先来找下这个2.txt看下里面的内容:

最低0.47元/天 解锁文章
博客
阿里云服务器IIS网站快照被入侵导致违规URL通知
12-02 2028
距离2022年元旦约越来越近,我们发现很多网站用IIS环境尤其是aspx+sqlserver架构的网站总是被攻击,具体症状首先是接到阿里云的通知说是有违规URL通知,然后过了几天发现百度site网站域名,多了很多与网站本身内容不相关的垃圾快照内容,从百度点击这个快照地址进去后显示404找不到页面,但从百度站长工具里抓取页面就能看到内容,说明攻击者对搜索引擎的UA标识做了判断进行混淆,导致从肉眼看不出任何问题,但快照依然在继续增加新收录。了解完上述过程,完全是近期多个客户遇到此网站被劫持攻击的症状
博客
打开网站被挂马跳转到博彩页面 解决办法
12-23 4万+
从百度这里点击进去,我的网站会直接跳转到赌博网站上去,我一开始以为是百度有问题了,我再从其他搜索引擎试了一下,360搜索,搜狗搜索点击进去,都会自动跳转到赌博网站上去,难不成是我网站出问题了?我自己做的网站都有三四年的时间了,用的开源phpcms开发的程序,自己二次开发过,但一直都用的好好的就是最近网站被客户投诉说是跳转到博彩网站上去,我才...
博客
如何解决收到网监大队信息系统安全等级保护限期整改通知书
06-14 1万+
  2018年6月,我们接到一位来自北京的新客户反映,说是他们单位收到一封来自北京市公安局海淀分局网安大队的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前,对网站进行安全整改,并要求提供完整的整改方案。对于未按期整改的,将被予以进行行政处罚,如下图所示: 网安大队的限期整改通知书,内容如下: 北京市公安局海淀分局信息系统安全等级保护限期整改通知书京等保限字...
博客
网站安全维护之逻辑漏洞、越权漏洞的修复与加固服务
06-05 5644
网站安全维护网站安全维护当中,程序代码的设计逻辑漏洞,以及用户权限越权漏洞是比较常见的,在许许多多的电商以及APP网站里,很多前端业务需要处理的部分验证了用户的登录状态,并没有详细的对后面的一些功能以及业务的处理进行用户权限的安全判断,导致发生一些管理员用户权限操作的业务,可以用普通用户权限去执行,导致网站越权漏洞的发生。请点击输入图片描述逻辑漏洞以及越权漏洞范围还包括这个数据库操作,mysql,...
博客
网站被黑入侵被挂马跳转如何解决?
06-03 1万+
昨天,发现客户的公司官网被黑了,标题是正常的,点击进去却跳转到了博彩网站。这里记录一下,我的解决方法。(不一定适用每一个网站)首先是主页在百度排名的显示情况,如下图被修改之后(百度更新也太及时了,上午发现的下午就更新了。):为什么明明标题被修改,但是在上面显示的还是之前我们自己设置的?主要是加入了以下的代码:我测试了一下,大家可以看看:而后被修改的标题是经过编码转换放入的:我的解决措施:1、修改f...
博客
如何排查网站及APP数据泄露的源头
09-08 798
若get post head请求响应,返回的数据包里中含有用户敏感信息,建议大家对该返回的数据进行加密,或者脱敏,(APP、网站、系统)若存在漏洞,抓紧进行整改和修复,如果不懂的如何修复漏洞可以找专业的网站漏洞修复公司来处理解决,若存在服务器被侵入情况,及时隔离相关的服务器,并对该服务器进行安全加固,溯源黑客的攻击痕迹,排查到底是通过那个漏洞进来的,对该漏洞进行修复,防止黑客再次的入侵,确保数据不再被泄露。1. 首先要看下数据泄露的数据特征,判断数据可能来自哪个应用系统(APP、网站、系统)。
博客
阿里云安全提醒:网站涉及违法不良信息该怎么办
06-27 2298
北京某客户的网站突然收到阿里云的短信告警说,【阿里云】尊敬的********@qq.com:您网站www.*******.com涉及违法不良信息,请尽快核查清理,详见站内信及邮件。客户有点懵,不知道为何会收到这样的一条短信,但阿里云也不会平白无故的给客户发这种的短信,随即我们SINE安全立即对该问题进行安全应急响应处置,安排高级安全工程师对客户的网站进行了安全检测,首先登录客户的阿里云账号查看具体的通知详情,登录阿里云账号后,映入眼帘的是一条安全提醒,违规域名整改通知。如何解决阿里云的安全提醒?
博客
DedeCMS漏洞修复该如何去防止黑客入侵
05-31 570
不定期进行安全评估和渗透测试,对存在的安全问题进行修复和优化。员工安全教育培训,提高员工安全意识,避免因误操作导致的安全问题。对文件uploads/dede/article_allowurl_edit.php进行修改,在写入allowurl.txt文件之前,加入过滤器对内容进行过滤,并且限制允许写入的内容格式。在/data/admin/allowurl.txt文件中写入的内容,并没有经过安全过滤,从而导致被成功绕过。由此可见,开发者应该严格限制用户输入的数据,避免类似漏洞的出现,确保网站的安全性和稳定性。
博客
单位网站被黑被下达整改进行行政处罚
05-18 3593
限期整改报告写完后,要填写处置上报信息,包括域名,公司名称,备案号,域名注册地址,服务器所在地,法人,联系方式,防火墙类型,等保备案号,隐患名称,网站所属行业以及单位性质,网站管理员,联系电话,网站系统的研发时间等等都要详细的填好后,将盖章好的限期整改通知书扫描件、整改报告、处置上报信息等3个文件回传给网安那面,有些地区可以发送邮件,有些需要去现场提交纸质版本,具体就是这样的一个解决过程,也希望我的分享能帮助到更多遇到这种情况的你们,希望大家少走弯路,将损失降到最低。4.安全隐患详情(漏洞)
博客
网站被黑后的紧急处理恢复正常步骤是什么?
05-16 1144
为了避免这种问题的发生,我们应该加强网站的安全性,及时更新漏洞、使用安全的服务器和防火墙等措施。用户数据泄露:一旦您的网站遭到攻击,黑客有可能获取用户及您的敏感信息,例如个人信息、信用卡数据等重要数据,这将对用户信任产生负面影响,从而影响企业形象。企业形象受损:网站是企业展示自身的重要平台之一,一旦网站被黑,可能导致企业的公信力受到影响,从而影响到企业的声誉和形象。更改密码:当您发现网站账户被黑之后,第一步应该是及时更改密码,以防止黑客继续入侵您的网站。我们应该加强网站的安全性,以避免网站被黑。
博客
解析泛微Ecology信息泄露&任意用户登录漏洞背后的威胁
05-16 1242
SINE安全建议使用泛微系统的企业,必须高度关注软件系统的安全性,并尽快安装漏洞修补程序,升级泛微到最新版本,以确保企业信息的安全。同时,企业也必须加强内部管理,加密敏感信息,制定合理的安全策略和措施,并定期进行安全检查和测试。这些措施可以有效地提高企业的信息安全水平,保护核心业务的利益。
博客
外贸网站Magento存在漏洞导致网站被攻击入侵的防护办法
05-11 846
有些客户在找我们SINESAFE做网站安全服务之前,客户也找过建站的公司去清除后门,建站公司也将系统迁移升级到了最新的2.4.4版本,但后来发现问题并没有完全的解决,还是会反复的被篡改代码和用户的支付页面被劫持跳转,问题的根源是代码里已经被黑客植入后门了,数据库也被留了木马病毒,这个时候不光是要升级magento到最新版本,还得要把木马后门给彻底的清理掉,做好安全加固和防护,才能彻底的解决这个问题。第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。
博客
服务器如何防范勒索病毒以及安全加固
03-23 990
有天下午5点多,我们SINE安全突然接到一个客户的电话,说他们的服务器中了一个叫“勒索病毒”的病毒,已经把中毒的服务器关了,监管部门也来了,可是他们自己的IT团队处理不了,客户感觉这个事非常紧急,可能会影响了整个业务的运行。A. 客户位于即墨,我们需要从市里赶往即墨,大约路程1个多小时,在路上我们SINE安全联系了监管部门,安排一位懂得核心交换机配置的技术人员到现场协助,对内网的流量镜像进行详细的数据安全分析。得先建几个文件,比如exe、docx、pptx格式的空文件,再新建个文本文件,改个后缀也行。
博客
网站强制跳转到国家反诈中心如何解封
02-10 1万+
我自己曾经申诉过公司网站的封锁,我先打了电话给国家反诈中心,不久之后,我接到了江苏反诈中心的电话,告诉我被拦截的原因,说是我网站存在不良信息传播,所以进行了封锁。我也自己看了下代码,没发现异常,通过朋友介绍找了一家专业的网站安全公司SINESAFE,通过咨询让他们技术帮我查了下代码,确实是被黑客入侵篡改,植入了一些违法不良内容,所以才会被反诈中心那面拦截,知道问题的根源就让安全技术清除了这些不良信息,然后我又联系了反诈那面重新审核网站,并告诉了他们网站是因为被黑客攻击,导致网站存在一些不良信息的。
博客
网站漏洞修复服务分析PHP版本漏洞
02-09 677
该函数的返回值是成功解析的字节数。我们对不同版本的PHP进行了进一步的安全测试,以确定这个漏洞到底是什么时候修复的。最终发现PHP 7.4.22版本存在该漏洞,我们的技术对未修补版本和已修补版本的代码进行了比较,发现了漏洞的修复细节,通过修复的代码,我们构造了漏洞的利用代码。我们在测试多种PHP版本的网站服务器的时候,发现了PHP的返回一个错误的值。随着我们SINE安全的深入测试,我们发现了一个PHP的安全漏洞,这个漏洞可以暴露PHP文件的源代码,可以利用该漏洞来获取网站的数据库的PHP配置文件。
博客
wordpress开源代码的一次白盒审计
02-01 486
从变量中可以看到从前端传参到Field后,将以:来进行参数的分割,其中的第2值放到$val,第3个值放到$val_param1,第4个的值放到$val_param2,以此类推的看,第5个值是放到了$val_param3里,其实这段代码就是对请求的参数开展解析和赋值的常规操作,我们再来继续看后面的一些代码,就知道到底是如何利用的,以及整体的代码逻辑。
博客
网站被篡改 收录一些非本网站快照跳转如何解决
12-15 1382
在某些被黑的网站里,我们SINE安全还发现了其他恶意代码,这些代码会操控网站页面内除了 title 以外的其他内容进行任意的切换。HACK经常去攻击一些国内网站,利用这些网站在百度的一些收录和流量去推广做一些世界杯竞猜类的网站和APP,SINE安全技术人员发现这种攻击会对网站自身的排名和百度权重造成很大的影响,通过我们SINESAFE的数据统计,被HACK入侵篡改的网站数量已经超过6万多个,尤其自世界杯开赛以来,被攻击的网站大部分都被劫持跳转到卡塔尔世界杯买球下注的非法网站上。世界杯正规买球app有哪些?
博客
怎么查找Linux服务器是否有后门账户
11-15 1627
依据我们SINE安全15年的安全从业经验来看,检查Linux服务器里是否被植入隐藏的系统账户后门,可以编辑一下/etc/passwd文件中的新增的潜藏用户,还可以利用awk命令,查询uid=0以及uid>=500的所有用户名,如下图的指令就可以查询是否有异常的后门账户,还可以查看Linux 账户的登录历史记录,以及登录的IP来看下,是否有异常的账号和IP登录过服务器。还可以将SINE账户写到Linux 里的/etc/passwd文件,VI编辑以后,通过passwd命令,设置SINE账户的密码。
博客
网站APP信息以及用户数据泄露排查方案
11-03 798
除此之外,即便在抑制数据泄露以后,也必须要保持警惕,对敏感数据进行脱敏以及数据安全加固,整体的网站安全加固和APP安全防护,才能确保后续不被黑客攻击而导致数据泄露。当公司遭到数据泄露时,至关重要的是在短期内快速的应急响应并处理,全面的前期准备是处理数据泄露事件的核心。因而,尽早发现数据泄露非常的重要。掌握比较常见的数据泄露种类以后,公司还要掌握比较常见的数据泄露特征,如果出现了下面的一些症状,说明公司很有可能遭受到了数据泄露,需尽早与企业内部或第三方网络安全公司进行沟通交流,来确认潜在风险或评定泄露风险。
博客
网站有绕过认证逻辑漏洞怎么修复
11-02 664
c).将变更的手机号改成自个的手机号。d).根据变更的手机号接到的检验码变更手机号。普遍的几类认证功能就包含账户密码认证、验证码短信认证、JavaScript数据信息内容认证及服务器端数据信息内容认证这些,但写代码的技术员在涉及到认证方法时很有可能存有缺点造成被绕过,因此小结了下列几类绕过认证的姿态和大伙儿一块探讨探讨。程序员在写认证程序代码时会很有可能会认证效果返回到pc客户端,由pc客户端依据服务器端提供的认证效果完成下一阶段应用,攻击者能够根据篡改认证效果或立即实行下一阶段应用完成绕过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值