伍林堂四八至六一二重大网络安全事故情况说明

伍林堂工作室2年前 (2020-06-15)法律函件475

近期,南通伍林堂文化传播有限公司旗下伍林堂安全应急响应中心,因互联网产品安全生产漏洞,从而成功捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样。样本文件名为http://acedgwf.cn/01/js.css(伪装加密后的php文件),直接打开后展示“js.css”(php语言加密代码)。如下图所示:

伍林堂四八至六一二重大网络安全事故情况说明  第1张

经过应急响应中心不断地排查发现该文件有捕获样本情报、 分析解密后门文件代码、分析域名资产和漏洞影响的重大安全隐患。我们通过解密改文件得到如下代码:

<title>请勿使用非法用途</title>
<meta http-equiv=&quot;content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
 
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
 
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软!</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>

代码运行图如下:

20200601172106262.png 伍林堂四八至六一二重大网络安全事故情况说明  第2张

在单独运行该文件代码html时,无可交互运作,经深度混淆解密后得到该木马后门远控代码如下:

伍林堂四八至六一二重大网络安全事故情况说明  第3张

经过对该木马文件域名资产acedgwf.cn排查信息发现,该域名注册邮箱jinganghuluwa6666@gmail.com;注册主办单位王艺杰的分子共注册域名2074个左右,打开其所有的域名查询均为博彩及黄色网站

伍林堂四八至六一二重大网络安全事故情况说明  第4张

伍林堂四八至六一二重大网络安全事故情况说明  第5张

伍林堂四八至六一二重大网络安全事故情况说明  第6张

点击打开其注册的任意域名访问结果如下图所示:

伍林堂四八至六一二重大网络安全事故情况说明  第7张

由此可见,该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 [https://www.eb.com.cn/]所购买的域名;由该dns解析可得,此域名的dns服务商为:https://www.dnsdun.com/ 配置的dns服务;此人Email为: jinganghuluwa6666@gmail.com,共计注册域名2074个;至于服务器应属于此人在GitHub pages搭建,后期为了防止其Git仓库曝光又将自定义域名转至 [https://www.eb.com.cn/],该域名和服务器为暂存地或该服务器为远控木马前端登录地。

该漏洞具体产生影响:将服务期内可读可写的内存属性改为可读可执行,通俗讲就是篡改数据库和破坏服务器,进行远控木马种植和后门隐藏也包括完全接管该服务器。通过PHP文件后门调取受害者服务器系统设置,脱库删库SQL数据库文件导出,窃取管理员权限并植入窗口欺骗型病毒{0633EE93-D776-472f-A0FF-E1416B8B2E3A} 篡改注册表等等一系列操作,最终完全僵尸化受害者服务器。由于此木马可能存在域名验证问题,故无法保证完全解密,深度解密失误会造成的部分代码缺失。

目前侦测发现:江苏南通、山东东营等多地企业政府职能机构已经被篡改数据,利用Think远程代码执行漏洞进行脱库上传免杀木马,篡改数据将网站重定向至博彩、色情网站(相关的被篡改网站仅需要在任意搜索引擎搜索jinganghuluwa6666@gmail.com均可展现。我司2018年7月14日~2019年1月2日;2020年1月16日~6月12日两段被篡改周期内,均为远程代码执行脱库上传木马。直接造成了巨大的经济损失,并因篡改内容被某公司被告侵权。日前,我司已主动联系南通市通州区公安局网安支队及南通市公安局港闸分局网安大队的相关人员,对此次长时间篡改数据内容的问题作出相关情况说明。

接下来,我们伍林堂将在系统安全方面投入更多技术力量,感谢对伍林堂的长期以来的信任与支持!

南通伍林堂文化传播有限公司

伍林堂安全应急响应中心

二〇二〇年六月十五日

扫描二维码推送至手机访问。

文章内容系本站创作,本站内容不得以任何形式转载,感谢配合。

本文链接:https://wulintang.com.cn/new/2020061550.shtml

分享给朋友:

相关文章

互联网信息服务管理办法

第一条 为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。第二条 在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。本办法所称互联网信息服务,是指通过互联网向上网用户提...

互联网站从事登载新闻业务管理暂行规定

(国务院新闻办公室、信息产业部发布)第一条 为了促进我国互联网新闻传播事业的发展,规范互联网站登载新闻的业务,维护互联网新闻的真实性、准确性、合法性,制定本规定。第二条 本规定适用于在中华人民共和国境...

互联网出版管理暂行规定

为了加强对互联网得监管力度,强化互联网业界得法制意识,实现互联网产业得有序竞争,7月15日由新闻出版总署和信息产业部联合出台《互联网出版管理暂行规定》。全文如下:中国新闻出版总署、中国信息产业部令(第...

著作权行政处罚实施办法

《著作权行政处罚实施办法》已经2003年7月16日国家版权局局务会议审议通过,现予公布,自2003年9月1日起施行。国家版权局局长 石宗源二○○三年七月二十四日著作权行政处罚实施办法第一章 总 则  ...

最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释

  最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释(2003修正)   颁布单位:最高人民法院 颁布时间:2003-12-23实施日期:2003-12-23 效力级别:司...

互联网等信息网络传播视听节目管理办法

国家广播电影电视总局令第 39 号《互联网等信息网络传播视听节目管理办法》经2004年6月15日局务会议通过,现予发布,自2004年10月11日起施行。局 长  徐光春二○○四年七月六日互联网等信息网...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。