摘要: 今日,知道创宇安全团队发现“齐博CMS整站系统(qiboCMS)”官方下载的安装文件包里被植入恶意网站木马文件。当站长用户下载安装后,导致网站被“感染”该恶意后门使网站沦为“肉鸡”。我们立即启动了应急方案,已积极联系齐博CMS官方,并发布紧急预警,请站长们暂停...
今日,知道创宇安全团队发现“齐博CMS整站系统(qiboCMS)”官方下载的安装文件包里被植入恶意网站木马文件。当站长用户下载安装后,导致网站被“感染”该恶意后门使网站沦为“肉鸡”。我们立即启动了应急方案,已积极联系齐博CMS官方,并发布紧急预警,请站长们暂停下载安装齐博CMS对于近期下载安装过齐博CMS的朋友,请参考下面的解决方案。
关于“齐博CMS整站系统(qiboCMS)”
齐博CMS系统是国内领先的开源内容管理系统之一,凭借着独创的可视化标签技术优势,使得页面的管理维护与风格的制作的门槛降低到最低程度。因此而深受广大用户喜爱。
官方网站:http://www.qibosoft.com/product_cms.htm
后门文件分析
经过我们分析发现黑客在齐博CMS整站系统的安装文件包里做了如下篡改:
1、在/admin/template/center/config.htm文件了插入了一段html代码:
- <div style="display:none"><script src='http://pw.cnzz.com/c.php?id=1200998884&l=2' language='JavaScript' charset='gb2312'></script></div>
其主要目的可能为方便统计“中招”的网站URL等信息。
2、植入php木马后门文件:/ewebeditor/ckfinder/plugins/fileeditor/codemirror/contrib/php/js/net.php
这个文件代码使用了“PHP神盾”加密:
直接访问得到如下界面:
通过解密证实该文件为“phpspy木马”文件!输入密码登陆:
解决方案
1、编辑/admin/template/center/config.htm删除对应的html代码(见上)
2、删除木马文件:/ewebeditor/ckfinder/plugins/fileeditor/codemirror/contrib/php/js/net.php
3、建议启用加速乐(http://www.jiasule.com/)可成功防御拦截常见后门文件。
图/文 知道创宇安全团队 2014.10.23
