关于“齐博CMS整站系统(qiboCMS)”

齐博CMS系统是国内领先的开源内容管理系统之一，凭借着独创的可视化标签技术优势，使得页面的管理维护与风格的制作的门槛降低到最低程度。因此而深受广大用户喜爱。

官方网站：http://www.qibosoft.com/product_cms.htm

后门文件分析

经过我们分析发现黑客在齐博CMS整站系统的安装文件包里做了如下篡改：

1、在/admin/template/center/config.htm文件了插入了一段html代码：

其主要目的可能为方便统计“中招”的网站URL等信息。

2、植入php木马后门文件：/ewebeditor/ckfinder/plugins/fileeditor/codemirror/contrib/php/js/net.php

这个文件代码使用了“PHP神盾”加密：

直接访问得到如下界面：

通过解密证实该文件为“phpspy木马”文件！输入密码登陆：

解决方案

1、编辑/admin/template/center/config.htm删除对应的html代码(见上)
2、删除木马文件：/ewebeditor/ckfinder/plugins/fileeditor/codemirror/contrib/php/js/net.php
3、建议启用加速乐（http://www.jiasule.com/）可成功防御拦截常见后门文件。

更新[2014.10.23 14:18]

知道创宇安全团队收到官方的反馈及感谢，目前官方已经清理了对应的植入的恶意代码及文件。并在官方论坛发布了安全公告：http://bbs.qibosoft.com/read-forum-tid-425281.htm [友情提示：官方论坛公告里的解决方案只删除了php木马文件，而没有要求清理插入的html代码。html代码一样存在危险我们建议你一并清理删除(参考以上解决方案)]