转载:https://www.sohu.com/a/325697059_100108937
如有侵权请及时与我们联系,我们第一时间删除 邮箱:qdyonyou@qq.com
最近笔者所有米拓metinfo系统做的网站都被植入木马,连最新版6.2.0都能被攻击,而且修改了后台路径无法解决。
漏洞木马特征:
木马位置位于网站跟目录下/ueditor/php/upload/image/里的年月日目录(比如20190207)下,一般为图片格式,比如gif,图片插入一句话木马,如下图:
阿里云提示
漏洞木马来源分析:
根据木马实在的目录,推出应该是ueditor相关的漏洞,所以笔者打开最近的网站访问日志搜索“ueditor”跟踪发现:
攻击者采用入口:http://www.xxx.com/app/app/ueditor/php/controller.php?action=uploadimage进行上传木马。
所以笔者打开/app/app/ueditor/php/controller.php和/app/app/ueditor/php/action_upload.php以及/app/app/ueditor/php/config.json进行分析想看看攻击者是如何上传的,经过比较发现在config.json存在/ueditor/php/upload/image/的影子,如下图:
发现攻击者上传的木马目录及格式就是
/ueditor/php/upload/image/{yyyy}{mm}{dd}/{time}{rand:6}
然后笔者用记事本编写一个上传表单代码保存为html文件:代码入下图:
几行代码而已,然后打开该html文件就可以上传含木马代码的图片文件了。
漏洞修补办法:
笔者然后经过对metinfo系统代码分析,发现metinfo系统未使用/app/app/ueditor/php/里面的相关文件,推测应该是metinfo开发者调用ueditor编辑器插件不严谨,对示例文件不做任何修改或删除处理。
所以推荐的漏洞修补办法是:删除/app/app/ueditor/下的php目录。经笔者后台测试不影响后台上传图片。
建议metinfo开发者对改ueditor编辑器漏洞进行修补。
注意:此文的漏洞木马分析过程是为了测试漏洞是否存在以及采用该漏洞修补办法的依据,请网友不要用来从事非法活动,后果自负。并且在这里谴责使用IP地址“60.167.132.215”(安徽芜湖电信)的非法人员非法攻击本人网站。