lankeCMS2.0时代,因为朋友需要,在某科的某宝官方店下单了一份源码。
当时源码确实也不贵,而且店主也协助支持了nginx的伪静态规则。
但是现在没做业务了,朋友担心备案被注销,所以仍要求保留网站。
但是在去年,发生了两三次页面被篡改事件,主要是修改了index.php和config.php文件。几次的入侵手法一致,上传后在网页加了恶意代码。针对搜索引擎到来的访客,直接劫持流量并跳转非法网站。
如图,被篡改的网页:
当时检查了一下源码,是基于thinkPHP修改的,网上搜了一下,针对这个LANKECMS的入侵不在少数。
近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,导致从百度点击进来的直接跳转到世界杯体育网站上去,而且百度快照收录的标题也被篡改了,通过客户的叙述,发现此源码是用tp架构二次开发的,其中源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混淆加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的。
从检查被入侵后的源码发现,不仅标题被篡改,还添加了判断跳转的JS代码,从代码看,凡是通过搜索引擎过来的访问,都会被劫持到篡改的网址。
而该网址内容基本是菠菜相关,网站内容被篡改,不仅影响客户体验,而且会降低网站在搜索引擎的权重,甚至导致网站被各地反诈系统拦截,被强制注销备案等。
如图:因为被入侵跳转非法站,导致域名被停止解析,网站禁止访问,CDN系统清退加速。
这套系统的官方淘宝店还在,但是试图联系作者,作者一直不回复信息。
根据网上反馈,猜测入侵是通过服务器上的FSO(Scripting.FileSystemObject)上传覆盖了正常文件。这个组件是宝塔面板默认自带的。
但是如果使用一些虚拟主机,因为不支持FSO,现在一些同样使用LankeCMS的站还是正常的。
因为有代码加密,所以解决方法两个:
1:换虚拟主机,一些大厂的虚拟主机还可以使用。
2:更改关键文件的系统权限,将文件的0755权限修改为0644,这样没有足够权限是无法覆盖源文件的。
同样的解决方法也可以支持其它存在风险的PHP程序:
1:宝塔面板的“防篡改插件”,将站点目录加入防篡改保护里面上锁通过SSH命令就可以完成。
2:使用文件加锁命令,将站点配置文件和模板文件锁定。
以蓝科CMS为例,目前被篡改过的文件有 根目录下的 index.php config.php Framework目录下的 ThinkPHP.php(目录下也可能会被上传ThinkPHP.phps)
除了加固文件,经常性检查来自搜索引擎的访问是不是正常也很有必要,有问题要及时处理。
PS:蓝科新的基于PHP7源码不清楚,但是老的源码存在漏洞且数次被人利用,不建议使用这套代码。
发表评论