RSS Feed
更好更安全的互联网

紧急预警“齐博CMS整站系统(qiboCMS)”后门事件

2014-10-23
今日,知道创宇安全团队发现“齐博CMS整站系统(qiboCMS)”官方下载的安装文件包里被植入恶意网站木马文件。当站长用户下载安装后,导致网站被“感染”该恶意后门使网站沦为“肉鸡”。我们立即启动了应急方案,已积极联系齐博CMS官方,并发布紧急预警,请站长们暂停下载安装齐博CMS对于近期下载安装过齐博CMS的朋友,请参考下面的解决方案。

关于“齐博CMS整站系统(qiboCMS)”

齐博CMS系统是国内领先的开源内容管理系统之一,凭借着独创的可视化标签技术优势,使得页面的管理维护与风格的制作的门槛降低到最低程度。因此而深受广大用户喜爱。

官方网站:http://www.qibosoft.com/product_cms.htm

后门文件分析

经过我们分析发现黑客在齐博CMS整站系统的安装文件包里做了如下篡改:

1、在/admin/template/center/config.htm文件了插入了一段html代码:

 

<div style="display:none"><script src='http://pw.cnzz.com/c.php?id=1200998884&l=2' language='JavaScript' charset='gb2312'></script></div>

 

其主要目的可能为方便统计“中招”的网站URL等信息。

2、植入php木马后门文件:/ewebeditor/ckfinder/plugins/fileeditor/codemirror/contrib/php/js/net.php

这个文件代码使用了“PHP神盾”加密:

120446ravyu1u2ra8tdfr2
直接访问得到如下界面:

120501m0lo6clmmfs6ssyt
通过解密证实该文件为“phpspy木马”文件!输入密码登陆:

120517cjj95guphoogjtzj

解决方案

1、编辑/admin/template/center/config.htm删除对应的html代码(见上)
2、删除木马文件:/ewebeditor/ckfinder/plugins/fileeditor/codemirror/contrib/php/js/net.php
3、建议启用加速乐(http://www.jiasule.com/)可成功防御拦截常见后门文件。

 

更新[2014.10.23 14:18]

知道创宇安全团队收到官方的反馈及感谢,目前官方已经清理了对应的植入的恶意代码及文件。并在官方论坛发布了安全公告:http://bbs.qibosoft.com/read-forum-tid-425281.htm [友情提示:官方论坛公告里的解决方案只删除了php木马文件,而没有要求清理插入的html代码。html代码一样存在危险我们建议你一并清理删除(参考以上解决方案)]

作者:niubl | Categories:技术分享 | Tags:

发表评论