2020年剛開始，蘋果CMS被爆出數(shù)據庫代碼執(zhí)行漏洞，大量的電影網站被掛馬，尤其電影的頁面被篡改植入了惡意代碼，數(shù)據庫中的VOD表里的d_name被全部修改，導致網站打開后直接跳轉到S站或者彈窗廣告，目前該maccms漏洞受影響的蘋果系統(tǒng)版本是V8,V10，很多客戶網站被反復篡改，很無奈，通過朋友介紹找到我們SINE安全尋求技術上支持，防止網站被掛馬。根據客戶的反應，服務器采用的是linux centos系統(tǒng)，蘋果CMS版本是最新的V10版本，我們立即成立網站安全應急響應處理，幫助客戶解決網站被攻擊的問題。

首先很多站長以為升級了蘋果CMS官方最新的漏洞補丁就沒問題了，通過我們SINE安全技術對補丁的代碼安全分析發(fā)現(xiàn)，該漏洞補丁對當前的數(shù)據庫代碼執(zhí)行漏洞是沒有任何效果的，于事無補，網站還會繼續(xù)被攻擊。

我們來看下客戶網站目前發(fā)生的掛馬問題，打開網站首頁以及各個電影地址都會被插入掛馬代碼，如下圖所示：

打包壓縮了一份網站源代碼，以及nginx網站日志文件，我們SINE安全工程師在根目錄下發(fā)現(xiàn)被上傳了網站webshell木馬文件，通過網站日志溯源追蹤我們查看到訪問這個PHP腳本木馬文件的是一個韓國的IP，具體的代碼如下圖：

代碼做了加密處理，我們SINE安全對其解密發(fā)現(xiàn)該代碼的功能可以對網站進行上傳，下載，修改代碼，操作數(shù)據庫等功能，屬于PHP大馬的范疇，也叫webshell木馬文件，我們又對蘋果CMS的源代碼進行了人工安全審計，發(fā)現(xiàn)index.php代碼對搜索模塊上做的一些惡意代碼過濾檢查存在漏洞，可導致攻擊者繞過安全過濾，直接將SQL插入代碼執(zhí)行到數(shù)據庫當中去。

我們對數(shù)據庫進行安全檢測發(fā)現(xiàn)，在VOD表的d_name被批量植入了掛馬代碼。