阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 22627阅读
  • 8回复

[网络/安全]PHPCMS(2)安全:改后台登陆地址并去除在线升级提示

级别: 码农
发帖
282
云币
325
%7`eT^  
  PHPCMS(1)ngnix下安装PHPCMS全过程详解   q] pHD})O  
   mDp8JNJNE  
   ^CQp5kp]  
  PHPCMS(2)安全:改后台登陆地址并去除在线升级提示   4zhh **]B  
   C :sgT6  
   J9tV|0  
  PHPCMS(3)从头到尾做网站   A:y^9+Da  
?R sPAL  
YW~ 9N  
gzvgXZ1q"  
  近日刚刚推荐过PHPCMS内容管理系统,PHPCMS就爆出了一个丑闻“PHPCMS自身的升级提示服务会向你的PHPCMS注入木马。 6hR ` sE  
V8WSJ=-&  
<VstnJo`Z  
  木马症状有两个:  `5(F'o  
  1.增加了一个叫做pcmanage的超级管理员 3rHn?  
hg<[@Q%$o  
kzK9 .  
H{i|?a)  
  2.模块-数据源-给你增加一些“数据”。 -\B*reC  
Ylu\]pr9|C  
C,mfA%63  
KlS#f  
  如此严重的问题(我们的群主Iveon认为这个木马会偷数据库,会将你的后台登陆地址返回给黑客。)PHPCMS官方就像是一潭死水,连个反应都没有。中国的企业对待己的工作,还真够可以的。 #1*7eANfr  
T4}Wg=UKg  
=<PEvIn  
  我们群主自己的解决方案(转帖《Iveon运维笔记》): }:$ot18  
  phpcms v9 管理员管理新增pcmanage超级管理员的解决方案 s3@mk\?qMe  
  目前还无法确定这次漏洞是官方有人故意为之,还是被劫持,还是被黑.... [742s]j  
  目前解决方案就是断开在线更新检测 OXKV6r6f  
  编辑修改phpcms\modules\admin\index.php 6;s[dw5T  
  //被注释部分 `x>6Wk1  
  1. public function public_main() {
  2.     pc_base::load_app_func('global');
  3.     pc_base::load_app_func('admin');
  4.     define('PC_VERSION', pc_base::load_config('version','pc_version'));
  5.     define('PC_RELEASE', pc_base::load_config('version','pc_release'));    
  6.     $admin_username = param::get_cookie('admin_username');
  7.     $roles = getcache('role','commons');
  8.     $userid = $_SESSION['userid'];
  9.     $rolename = $roles[$_SESSION['roleid']];
  10.     $r = $this->db->get_one(array('userid'=>$userid));
  11.     $logintime = $r['lastlogintime'];
  12.     $loginip = $r['lastloginip'];
  13.     $sysinfo = get_sysinfo();
  14.     $sysinfo['mysqlv'] = mysql_get_server_info();
  15.     $show_header = $show_pc_hash = 1;
  16.     /*检测框架目录可写性*/
  17.     $pc_writeable = is_writable(PC_PATH.'base.php');
  18.     $common_cache = getcache('common','commons');
  19.     $logsize_warning = errorlog_size() > $common_cache['errorlog_size'] ? '1' : '0';
  20.     $adminpanel = $this->panel_db->select(array('userid'=>$userid), '*',20 , 'datetime');
  21.     $product_copyright = base64_decode('5LiK5rW355ub5aSn572R57uc5Y+R5bGV5pyJ6ZmQ5YWs5Y+4');
  22.     $architecture = base64_decode('546L5Y+C5Yqg');
  23.     $programmer = base64_decode('546L5Y+C5Yqg44CB6ZmI5a2m5pe644CB546L5a6Y5bqG44CB5byg5LqM5by644CB6YOd5Zu95paw44CB6YOd5bed44CB6LW15a6P5Lyf');
  24.         $designer = base64_decode('5byg5LqM5by6');
  25.     //ob_start();
  26.     include $this->admin_tpl('main');
  27.     //$data = ob_get_contents();
  28.     //ob_end_clean();
  29.     //system_information($data);
  30. }
q=`n3+N_H~  
6yAZvX  
  修改phpcms\modules\admin\templates\main.tpl.php b3 =Z~iLv  
z6B#F<h  
  查找 <z#Fj`2{  
  1. class="pad-10 display"
YXqYIG.G  
  修改为 PrfG  
  1. class="pad-10"
;P;c!}:\b  
[~\]<;;\  
Wuk8&P3  
  至此结束 %-K5sIz  
~a_X 7  
*ej< 0I{  
P?|\Ig1Gk  
  至于已经被添加了用户的请注意,以上操作并不能完全解决 q`L )^In"  
  目前发现的到后台模块->数据源 查看有没有一个名为123的调用,有删除 $%31Gk[I  
  到caches目录下看是否有error_logaa.php文件删除. &&LB0vH!J  
  目前发现的就是这些,因为自己没有出现也无法深入跟踪 o37oRv]  
  没有发现以上的也不要以为就没事了,因为你的信息已经被提交到人家哪? ?Y8hy|`  
  想搞你看心情的事情了. + %K~  
  所以还是替换加密解密函数(附上链接)吧! _&s pMf  
QZ;DZMP  
(^g XO  
0} &/n>F  
ZADMtsk  
  ============中国的企业,出了事很正常,不出事才奇怪。=============== QE)zH)(  
h. ftl2>  
`\;Z&jlpT  
  但我们不能拿自己的网站开玩笑,所以在这里建议所有使用框架系统(DEDE,帝国,PHPCMS)的站长,都把在线升级提示取消。框架系统应用的人越多,就越可能被黑客盯上,但因此安全维护的眼睛也越多。 j} ^3v #  
|%F4`gz8KP  
.%.7~Nu,  
  “官方”并不是100%可以信任的。 Lq;iR  
!V/\_P!I  
LJ@r+|>  
  这件事对我警醒很大,所以我一鼓作气,把PHPCMS后台登陆地址换掉了。 r`EjD}2d  
&Q}%b7  
9Sd?,z  
:p]e4|R  
  ===========PHPCMS后台登陆地址更改(转帖)实际应用了================= i+~BVb  
Tt{z_gU6  
3^ y<Db  
  PHPCMS V9二次开发自定义后台访问入口 <Y1 Plc  
  http://www.zhoutao.org/blog/2013/03/145.html > .K%W *t  
m&xVlS  
dlCYdwP  
  最新发布的PHPCMSV9由于采用了MVC的设计模式,所以它的后台访问地址是固定的,虽然可以通过修改路由配置文件来实现修改,但每次都修改路由配置文件对于我来说有点麻烦了,而且一不小心就会出错。这里使用另外一个一劳永逸的方法,达到了方便修改访问后台入口的目的,整个修改共分两步: dc1Zh W4  
&}2@pu[S?7  
`G`R|B  
  第一步: s>L.V2!$0  
  在网站根目录创建一个文件夹,以后就要通过这个文件夹进入后台登录界面的,所以文件夹名就要取一个不易被人轻易猜到的名称。这里作为演示,我就取为houtai 好了。接着,在这个文件夹里新建一个文件index.php,内容为: $)o0{HsL+  
  1. <?php
  2. define('PHPCMS_PATH', realpath(dirname(__FILE__) . '/..') . '/');
  3. include PHPCMS_PATH . '/phpcms/base.php';
  4. // pc_base::creat_app();
  5. $session_storage = 'session_' . pc_base :: load_config('system', 'session_storage');
  6. pc_base :: load_sys_class($session_storage);
  7. session_start();
  8. $_SESSION['right_enter'] = 1;
  9. unset($session_storage);
  10. header('location:../index.php?m=admin');
  11. ?>
JJbd h \  
. 43cI(  
KZZY9  
,3f>-mP  
  第二步: pXN'vP  
  在 phpcms/modules/admin/ 文件夹里新建一个文件 MY_index.php(切记MY为大写,index为小写),内容为: N5sVRL"7  
  1. <?php
  2. defined('IN_PHPCMS') or exit('No permission resources.');
  3. class MY_index extends index {
  4. public function __construct() {
  5. if(empty($_SESSION['right_enter'])) {
  6. header('location:./');exit;
  7. }
  8. parent::__construct();
  9. }
  10. public function public_logout() {
  11. $_SESSION['right_enter'] = 0;
  12. parent::public_logout();
  13. }
  14. }
  15. ?>
Tjrb.+cua  
h{ix$Xn~  
  修改完成。以后就只能通过 http://域名/houtai/ *****.php   (*****.php是我加的)   目录访问后台登录入口 了,如果直接使用 index.php?m=admin访问的话,会直接跳转到网站首页,这样就阻止了对后台登录入口的直接访问了。当然houtai这个目录名可以随意修改的! 1kL8EPT%o  
*kqC^2t  
5toa@#Bc%  
  评论(鱼说)index.php?m=admin&c=index&a=login 知道这个参数还是知道后台的啊。? X"_ ^^d-  
  评论(zhoutao 说)知道他也打不开,自动返回到首页了。(经验证,确实是这样) jTt9;?)  
rg>2tgA  
-wg}X-'z0  
  ===========PHPCMS加密解密函数修复!【不推荐|有能力者自己斟酌】================ m<>BxX  
YT(Eh3ID  
Bz-jy.  
  我是小白我不懂,所以我选择相信哦! ?-mOAHW0q  
!^su=c  
C,l,fT  
  这是原文地址: http://www.dwz.cn/ndGjI hd9HM5{p  
-#;xfJE  
a0sz$u  
|w{Qwf!2  
Ta?}n^V?;  
  =========================邀请阿里技术员参与分析============================================= ]&Y^  
QE[<Y3M  
  我现在操作2个网站: XxmWj-=qO  
qq&U)-`  
( uD^_N]3  
  一个路口心理测试大百科www.lu-kou.com布置在阿里云网站,开通云盾。 # lvt4a"P"  
? F #&F  
  一个是www.bettershop.cn部署在西部数码,公司的,怎么推荐阿里云都不肯答应,莫名其妙的西部数码(晚上上传会很卡)。 EyPJ Jc8  
<F0^+Pf/  
~CnnN[g(_  
  昨天这2个网站后台都发现了同样的警告框(提示框,一闪即逝)。但是只有西部数码上的www.bettershop.cn中招了。 ; o_0~l=-/  
Ei@  
  2个程序版本一样,那么为什么阿里云上的心理测试大百科www.lu-kou.com没中招? o(jLirnk  
8Zsaq1S  
66eJp-5e8  
gU x}vE-  
  原因可能有3个: C'$}{%Cc@$  
|@JTSz*Or  
  1.我平时手动升级【路口心理测试大百科www.lu-kou.com】这个程序已经被我们二次开发动了好多核心文件,木马不认了。 4joE"H6  
>t cEx(  
8~C}0H  
  2.阿里云云盾阻挡了这个木马。 LsERcjwwK  
E! NtD).=S  
  3.我这个【路口心理测试大百科www.lu-kou.com】也中招了,但是没有显示出来。 (cLKhn@  
xc}[q`vK  
'M"z3j]m-,  
>E J{ *  
  这个领域超出了我的能力范围,所以我想邀请阿里云的技术员参与进来,看看是不是阿里云云盾防住了这次木马,虽然我觉得可能性不大,但是我很想知道答案。 ru eaP  
z U[pn)pe  
:wIA.1bK}  
Y`ip. Nx  
NzQvciJ@"  
Cst1nGPL  
[ 此帖被jadder在2014-07-18 09:00重新编辑 ]
本帖最近评分记录: 3 条评分 云币 +42
一个网名 云币 +1 西部的网站打开的比阿里的要快的多的多的多,你的阿里的我打开得好几秒 2015-02-04
随歌 云币 +40 优秀文章-欢迎进行技术分享,感谢你的支持! 2014-07-11
vaman 云币 +1 优秀文章-欢迎进行技术分享,感谢你的支持! 2014-07-10
发帖
276
云币
669
只看该作者 置顶  来自3楼 发表于: 2014-07-11
— (随歌) 执行 帖内置顶 操作 (2014-07-11 10:42) —
教程越写越深入了!今天的推荐帖就你了! tjtvO@?1-  
感谢你对阿里云学院的大力支持。 yP$esDP  
6NV592  
各位也可以多看看第一篇文章,串在一起,可以懂得更多关于PHPCMS的知识。 3 twA5)v  
V"4L=[le  
如果有问题也请多多在学院留言。 RM_%u=jC  
6t;;Fz  
Ps:你的问题我已经转给了云盾的同学,稍后他会和你联系的。
阿里云学院免费为讲师开通视频制作环境,需要的请与我联系!
级别: 程序猿
发帖
407
云币
318
只看该作者 沙发  发表于: 2014-07-10
真不错
级别: 攻城狮
发帖
619
云币
500
只看该作者 板凳  发表于: 2014-07-10
整理为一个专辑啊,第二篇文章把第一篇文章链接贴出来。麻烦了
发帖
276
云币
669
只看该作者 地板  发表于: 2014-07-11
— (随歌) 执行 帖内置顶 操作 (2014-07-11 10:42) —
教程越写越深入了!今天的推荐帖就你了! vW eg1  
感谢你对阿里云学院的大力支持。 RdD>&D$I  
T5T%[Gv  
各位也可以多看看第一篇文章,串在一起,可以懂得更多关于PHPCMS的知识。 bDl#806PL  
U)f('zD  
如果有问题也请多多在学院留言。 `PAQv+EYz  
s i2@k  
Ps:你的问题我已经转给了云盾的同学,稍后他会和你联系的。
阿里云学院免费为讲师开通视频制作环境,需要的请与我联系!
级别: 码农
发帖
239
云币
530
只看该作者 4楼 发表于: 2014-07-11
劳驾告知一下测试的时间点, QIN# \  
=8r,-3lC;  
另一个被黑的网站大概什么时候被黑的。 ^kB9 I8u  
&:+_{nc,  
还有您提到的这个安全问题的相关文章url。
级别: 码农
发帖
282
云币
325
只看该作者 5楼 发表于: 2014-07-12
回 4楼(虎笑) 的帖子
时间段是2014年7月9日09:38:30-09:54:49 DwTZ<H4  
这个事我路口心理测试大百科www.lu-kou.com(阿里云上的)网站试验是否中毒时间。 eaiz w@N  
IX3U\_I#  
时间段是2014年7月9日09:54:30-09:55:43 AU$5"kBE  
这个时间段内发现西部数码上的网站中弹了。 (}qLxZ/U  
ZyWC_r!  
================================================ 6ensNr~ea  
问题相关文章是: /iQ>he~fy  
http://bbs.phpcms.cn/thread-883291-1-1.html u})JQ<|  
?x/ L"h&Kp  
9VY_gi=vL  
你可以加我QQ,183998785,我可以发服务器里对应的文件给你,但是我不知道是哪个。 p_(hM&>C  
都是采用的PHPCMS程序。 5Q'R5]?h  
) D`_V.,W  
U)o8Tr  
gR>#LM&dG  
Tuy*Df  
级别: 码农
发帖
282
云币
325
只看该作者 6楼 发表于: 2014-07-14
“我们这边日志我不能发给你,公司有规定的,但是我可以肯定的告诉你,确实是有问题的,被我们的防护规则匹配且拦截了。” MG@19R2s  
——你懂的
级别: 码农
发帖
239
云币
530
只看该作者 7楼 发表于: 2014-07-18
已经跟云盾的工作人员确认了,攻击被云盾成功拦截。
发帖
276
云币
669
只看该作者 8楼 发表于: 2014-07-18
回 6楼(jadder) 的帖子
如果需要进一步协助,请联系我们就行,谢谢对阿里云的大力支持。
阿里云学院免费为讲师开通视频制作环境,需要的请与我联系!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)