阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 22615阅读
  • 8回复

[网络/安全]PHPCMS(2)安全:改后台登陆地址并去除在线升级提示

级别: 码农
发帖
282
云币
325
iJ~iJ'vf  
  PHPCMS(1)ngnix下安装PHPCMS全过程详解   [~rk`  
   \H'CFAuF  
   Wg3WE1V  
  PHPCMS(2)安全:改后台登陆地址并去除在线升级提示   A'P}mrY  
   6!Ap;O^*  
   {:q9:  
  PHPCMS(3)从头到尾做网站   & m ";D  
x[h<3V"  
?&t|?@  
mZ.6Njb  
  近日刚刚推荐过PHPCMS内容管理系统,PHPCMS就爆出了一个丑闻“PHPCMS自身的升级提示服务会向你的PHPCMS注入木马。 f0s<Y  
OEqe^``!  
c^/?VmCQ}  
  木马症状有两个: Ns] 9-D  
  1.增加了一个叫做pcmanage的超级管理员 ur_"m+  
XdXS^QA .s  
X0J]6|du.  
)#TJw@dNf^  
  2.模块-数据源-给你增加一些“数据”。 6P[O8  
7=[O6<+o  
< EE+ S#z  
Hw-oh?=  
  如此严重的问题(我们的群主Iveon认为这个木马会偷数据库,会将你的后台登陆地址返回给黑客。)PHPCMS官方就像是一潭死水,连个反应都没有。中国的企业对待己的工作,还真够可以的。 ,'0oj$~S:  
.Af)y_  
At_Y$N:  
  我们群主自己的解决方案(转帖《Iveon运维笔记》): ##\ZuJ^-  
  phpcms v9 管理员管理新增pcmanage超级管理员的解决方案 (E]K)d  
  目前还无法确定这次漏洞是官方有人故意为之,还是被劫持,还是被黑.... WYd,tGz  
  目前解决方案就是断开在线更新检测 !ES#::;z?  
  编辑修改phpcms\modules\admin\index.php D&lXi~Z%.  
  //被注释部分 r}M4()9L  
  1. public function public_main() {
  2.     pc_base::load_app_func('global');
  3.     pc_base::load_app_func('admin');
  4.     define('PC_VERSION', pc_base::load_config('version','pc_version'));
  5.     define('PC_RELEASE', pc_base::load_config('version','pc_release'));    
  6.     $admin_username = param::get_cookie('admin_username');
  7.     $roles = getcache('role','commons');
  8.     $userid = $_SESSION['userid'];
  9.     $rolename = $roles[$_SESSION['roleid']];
  10.     $r = $this->db->get_one(array('userid'=>$userid));
  11.     $logintime = $r['lastlogintime'];
  12.     $loginip = $r['lastloginip'];
  13.     $sysinfo = get_sysinfo();
  14.     $sysinfo['mysqlv'] = mysql_get_server_info();
  15.     $show_header = $show_pc_hash = 1;
  16.     /*检测框架目录可写性*/
  17.     $pc_writeable = is_writable(PC_PATH.'base.php');
  18.     $common_cache = getcache('common','commons');
  19.     $logsize_warning = errorlog_size() > $common_cache['errorlog_size'] ? '1' : '0';
  20.     $adminpanel = $this->panel_db->select(array('userid'=>$userid), '*',20 , 'datetime');
  21.     $product_copyright = base64_decode('5LiK5rW355ub5aSn572R57uc5Y+R5bGV5pyJ6ZmQ5YWs5Y+4');
  22.     $architecture = base64_decode('546L5Y+C5Yqg');
  23.     $programmer = base64_decode('546L5Y+C5Yqg44CB6ZmI5a2m5pe644CB546L5a6Y5bqG44CB5byg5LqM5by644CB6YOd5Zu95paw44CB6YOd5bed44CB6LW15a6P5Lyf');
  24.         $designer = base64_decode('5byg5LqM5by6');
  25.     //ob_start();
  26.     include $this->admin_tpl('main');
  27.     //$data = ob_get_contents();
  28.     //ob_end_clean();
  29.     //system_information($data);
  30. }
+as\>"Cj+2  
?;QKe0I^  
  修改phpcms\modules\admin\templates\main.tpl.php xRZT  
xaaxj  
  查找 [t\Mu}b  
  1. class="pad-10 display"
OehB"[;+  
  修改为 NjMLq|X  
  1. class="pad-10"
PqeQe5  
KTREOOu .t  
d-2I_ )9  
  至此结束 0-O.*Q^  
QU;C*}0Zl  
?UZ yu 4O%  
5~6y.S  
  至于已经被添加了用户的请注意,以上操作并不能完全解决 v~=ol8J B  
  目前发现的到后台模块->数据源 查看有没有一个名为123的调用,有删除 mq} #{  
  到caches目录下看是否有error_logaa.php文件删除. AR2+W^aM3  
  目前发现的就是这些,因为自己没有出现也无法深入跟踪 h^X.e[  
  没有发现以上的也不要以为就没事了,因为你的信息已经被提交到人家哪? 30-w TcG  
  想搞你看心情的事情了. =!Cvu.~},  
  所以还是替换加密解密函数(附上链接)吧! QVhBHAw  
AH,F[ vS  
d$ 7 b  
+N!{(R:"v}  
4s2ex{$+MA  
  ============中国的企业,出了事很正常,不出事才奇怪。=============== L{Zy7O]"d  
{.)D)8`<d  
9e6{(  
  但我们不能拿自己的网站开玩笑,所以在这里建议所有使用框架系统(DEDE,帝国,PHPCMS)的站长,都把在线升级提示取消。框架系统应用的人越多,就越可能被黑客盯上,但因此安全维护的眼睛也越多。 M_uij$1-  
D(GHkS*0q  
L4-Pq\2  
  “官方”并不是100%可以信任的。 <6$%Y2  
<C xet~x  
sP8B?Tn1W  
  这件事对我警醒很大,所以我一鼓作气,把PHPCMS后台登陆地址换掉了。 *mt v[  
wAPdu y[  
:.^rWCL2  
Hn.UJ4V  
  ===========PHPCMS后台登陆地址更改(转帖)实际应用了================= ddxv.kIj.  
hR{Zh>  
+r"$?bw '  
  PHPCMS V9二次开发自定义后台访问入口 wkw/AZ{27  
  http://www.zhoutao.org/blog/2013/03/145.html Wn5]2D\vkT  
#nz$RJsX  
_FgeE`X  
  最新发布的PHPCMSV9由于采用了MVC的设计模式,所以它的后台访问地址是固定的,虽然可以通过修改路由配置文件来实现修改,但每次都修改路由配置文件对于我来说有点麻烦了,而且一不小心就会出错。这里使用另外一个一劳永逸的方法,达到了方便修改访问后台入口的目的,整个修改共分两步: .? / J  
g#*N@83C  
Pl>t\`1:|A  
  第一步: "f+2_8%s+  
  在网站根目录创建一个文件夹,以后就要通过这个文件夹进入后台登录界面的,所以文件夹名就要取一个不易被人轻易猜到的名称。这里作为演示,我就取为houtai 好了。接着,在这个文件夹里新建一个文件index.php,内容为: gd*?kXpt  
  1. <?php
  2. define('PHPCMS_PATH', realpath(dirname(__FILE__) . '/..') . '/');
  3. include PHPCMS_PATH . '/phpcms/base.php';
  4. // pc_base::creat_app();
  5. $session_storage = 'session_' . pc_base :: load_config('system', 'session_storage');
  6. pc_base :: load_sys_class($session_storage);
  7. session_start();
  8. $_SESSION['right_enter'] = 1;
  9. unset($session_storage);
  10. header('location:../index.php?m=admin');
  11. ?>
@TDcj~oR ?  
ya=51~ by"  
+J9lD`z  
@YELqUb*  
  第二步: $Tza<nA  
  在 phpcms/modules/admin/ 文件夹里新建一个文件 MY_index.php(切记MY为大写,index为小写),内容为: .S;/v--F  
  1. <?php
  2. defined('IN_PHPCMS') or exit('No permission resources.');
  3. class MY_index extends index {
  4. public function __construct() {
  5. if(empty($_SESSION['right_enter'])) {
  6. header('location:./');exit;
  7. }
  8. parent::__construct();
  9. }
  10. public function public_logout() {
  11. $_SESSION['right_enter'] = 0;
  12. parent::public_logout();
  13. }
  14. }
  15. ?>
4{pa`o3  
CXA8V"@&b/  
  修改完成。以后就只能通过 http://域名/houtai/ *****.php   (*****.php是我加的)   目录访问后台登录入口 了,如果直接使用 index.php?m=admin访问的话,会直接跳转到网站首页,这样就阻止了对后台登录入口的直接访问了。当然houtai这个目录名可以随意修改的! E83nEUs  
V"XN(Fd^  
5**xU+&  
  评论(鱼说)index.php?m=admin&c=index&a=login 知道这个参数还是知道后台的啊。? e ^QOn  
  评论(zhoutao 说)知道他也打不开,自动返回到首页了。(经验证,确实是这样) ZWH`s  
!/SFEL@_B  
z7o5 9&  
  ===========PHPCMS加密解密函数修复!【不推荐|有能力者自己斟酌】================ t~Ax#H  
(XQG"G%U6W  
CDhk!O..  
  我是小白我不懂,所以我选择相信哦!  T7`Jtqf  
>8so'7(  
$6N. ykJ  
  这是原文地址: http://www.dwz.cn/ndGjI *0@e_h  
J$o J  
h pU7  
Z)<>d.  
js j" W&J  
  =========================邀请阿里技术员参与分析============================================= o <y7Ut  
{<lV=0]  
  我现在操作2个网站: OA;L^d  
827N?pU$)  
Kfh"XpWc$  
  一个路口心理测试大百科www.lu-kou.com布置在阿里云网站,开通云盾。 sx;1V{|g  
4{V=X3,x  
  一个是www.bettershop.cn部署在西部数码,公司的,怎么推荐阿里云都不肯答应,莫名其妙的西部数码(晚上上传会很卡)。 qXW 5_iX  
7K~=QEc  
DIY WFVh  
  昨天这2个网站后台都发现了同样的警告框(提示框,一闪即逝)。但是只有西部数码上的www.bettershop.cn中招了。 ?^5x d1>E  
:3k(=^%G!  
  2个程序版本一样,那么为什么阿里云上的心理测试大百科www.lu-kou.com没中招? lPH]fWt<  
F n\)*; ^  
q(C+D%xB  
F 1BPzRo`  
  原因可能有3个: BkcOsJIz  
T SOt$7-  
  1.我平时手动升级【路口心理测试大百科www.lu-kou.com】这个程序已经被我们二次开发动了好多核心文件,木马不认了。 q8U]Hyp(`  
\(Iy>L.  
Wl1%BN0>  
  2.阿里云云盾阻挡了这个木马。 iVD9MHT4  
qVf~\H@  
  3.我这个【路口心理测试大百科www.lu-kou.com】也中招了,但是没有显示出来。 q o'1Pknz  
"|hmiMdGB  
7w9) ^  
"ey~w=B$M  
  这个领域超出了我的能力范围,所以我想邀请阿里云的技术员参与进来,看看是不是阿里云云盾防住了这次木马,虽然我觉得可能性不大,但是我很想知道答案。 A&z  
]p~XTZgW  
yd2ouCUV  
DY1o!thz)  
ruoiG?:T  
46*?hA7@r(  
[ 此帖被jadder在2014-07-18 09:00重新编辑 ]
本帖最近评分记录: 3 条评分 云币 +42
一个网名 云币 +1 西部的网站打开的比阿里的要快的多的多的多,你的阿里的我打开得好几秒 2015-02-04
随歌 云币 +40 优秀文章-欢迎进行技术分享,感谢你的支持! 2014-07-11
vaman 云币 +1 优秀文章-欢迎进行技术分享,感谢你的支持! 2014-07-10
发帖
276
云币
669
只看该作者 置顶  来自3楼 发表于: 2014-07-11
— (随歌) 执行 帖内置顶 操作 (2014-07-11 10:42) —
教程越写越深入了!今天的推荐帖就你了! UA}k"uM  
感谢你对阿里云学院的大力支持。 RoP z?,u  
]ZZ7j  
各位也可以多看看第一篇文章,串在一起,可以懂得更多关于PHPCMS的知识。 !DD|dVA{  
\S3C"P%w  
如果有问题也请多多在学院留言。 tFXG4+$D  
~,.Agx  
Ps:你的问题我已经转给了云盾的同学,稍后他会和你联系的。
阿里云学院免费为讲师开通视频制作环境,需要的请与我联系!
级别: 程序猿
发帖
407
云币
318
只看该作者 沙发  发表于: 2014-07-10
真不错
级别: 攻城狮
发帖
619
云币
500
只看该作者 板凳  发表于: 2014-07-10
整理为一个专辑啊,第二篇文章把第一篇文章链接贴出来。麻烦了
发帖
276
云币
669
只看该作者 地板  发表于: 2014-07-11
— (随歌) 执行 帖内置顶 操作 (2014-07-11 10:42) —
教程越写越深入了!今天的推荐帖就你了! P BpjE}[Q  
感谢你对阿里云学院的大力支持。 Jr==AfxyT  
[}N?'foLb  
各位也可以多看看第一篇文章,串在一起,可以懂得更多关于PHPCMS的知识。 H_3S#.  
,yNPD}@v>  
如果有问题也请多多在学院留言。 dyC: Mko=  
a{mtG{Wc  
Ps:你的问题我已经转给了云盾的同学,稍后他会和你联系的。
阿里云学院免费为讲师开通视频制作环境,需要的请与我联系!
级别: 码农
发帖
239
云币
530
只看该作者 4楼 发表于: 2014-07-11
劳驾告知一下测试的时间点, 5 BR9f3}  
hd1(q33  
另一个被黑的网站大概什么时候被黑的。 Tn,'*D@l  
4CVtXi_Y  
还有您提到的这个安全问题的相关文章url。
级别: 码农
发帖
282
云币
325
只看该作者 5楼 发表于: 2014-07-12
回 4楼(虎笑) 的帖子
时间段是2014年7月9日09:38:30-09:54:49 N GP}Z4  
这个事我路口心理测试大百科www.lu-kou.com(阿里云上的)网站试验是否中毒时间。 $?RxmWsP  
I?c "\Fe  
时间段是2014年7月9日09:54:30-09:55:43 h^o>9s/|/H  
这个时间段内发现西部数码上的网站中弹了。 e]F4w(*=  
S_?{ <{  
================================================ s8;/'?K  
问题相关文章是: | LdDL953  
http://bbs.phpcms.cn/thread-883291-1-1.html Ca}T)]//  
 JwEQR  
OSACH0h  
你可以加我QQ,183998785,我可以发服务器里对应的文件给你,但是我不知道是哪个。 1KwUp0% &  
都是采用的PHPCMS程序。 +Y;/10p  
pJ)PVo\cV  
&("HH"!  
*b#00)d  
m/}(dT;  
级别: 码农
发帖
282
云币
325
只看该作者 6楼 发表于: 2014-07-14
“我们这边日志我不能发给你,公司有规定的,但是我可以肯定的告诉你,确实是有问题的,被我们的防护规则匹配且拦截了。” |ci1P[y  
——你懂的
级别: 码农
发帖
239
云币
530
只看该作者 7楼 发表于: 2014-07-18
已经跟云盾的工作人员确认了,攻击被云盾成功拦截。
发帖
276
云币
669
只看该作者 8楼 发表于: 2014-07-18
回 6楼(jadder) 的帖子
如果需要进一步协助,请联系我们就行,谢谢对阿里云的大力支持。
阿里云学院免费为讲师开通视频制作环境,需要的请与我联系!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)