近期，360互聯(lián)網(wǎng)安全中心得到了多位站長的幫助。當(dāng)通過搜索引擎打開它的網(wǎng)站時，它會跳轉(zhuǎn)到在線賭博頁面。經(jīng)分析，該網(wǎng)站使用的代碼被惡意篡改。進一步分析發(fā)現(xiàn)，很多網(wǎng)站被利用是因為使用的CMS中的舊版本-File-存在任意文件上傳漏洞（CVE-2018-9062)被利用）。惡意代碼稍后插入。

-File-是一種廣泛使用的文件上傳工具，支持多種語言。它包括文件選擇、文件拖放、進度條顯示和圖像預(yù)覽。 -File- 9.22.0及更早版本網(wǎng)頁跳轉(zhuǎn) php代碼，最近發(fā)現(xiàn)了一個任意文件上傳漏洞（CVE編號：CVE??-2018-9206網(wǎng)站建設(shè)，詳見：）。遠程攻擊者可以利用此漏洞執(zhí)行代碼。

該插件是列表中第二受歡迎的項目（有 7844 個分支，Star 是），僅次于框架。并已集成到數(shù)百個其他項目中，例如：CMS、CRM、解決方案、插件、附加組件（其中也有集成）、組件等等。

過程分析

網(wǎng)站上使用的文件插件

此項目中的安全提示()：CVE-2018-9206 漏洞影響 2018 年 10 月之前發(fā)布的版本：

文件插件項目頁面說明

分析發(fā)現(xiàn)，這樣一個被掛掉的網(wǎng)站的庫文件尾部額外插入了混淆代碼。去混淆后的內(nèi)容為：判斷網(wǎng)站的源頁面()是否為百度()、谷歌()、雅虎()、必應(yīng)(bing)、搜狗()、360搜索(so.)、有道()、極客(jike)、360導(dǎo)航()，如果是，會嵌入一段廣告代碼：//s5[.]cnzz[.]biz/.php;

腳本中插入惡意代碼

腳本中的內(nèi)容

.php如下圖所示： 主要功能是：從當(dāng)前頁面（即搜索頁面）的父頁面跳轉(zhuǎn)到游戲頁面：hxxp://www[.]b733[.]xyz :2682 /w.html,

在 zz.biz 中捕獲內(nèi)容

混淆后的廣告代碼也插入

。去混淆后的廣告碼功能主要是自動復(fù)制一段支付寶密碼領(lǐng)取紅包網(wǎng)頁跳轉(zhuǎn) php代碼，賺取賞金廣告。

紅包惡意代碼

下圖是判斷移動設(shè)備跳轉(zhuǎn)賭博網(wǎng)站相關(guān)的JS代碼：

確定是否正在被移動設(shè)備訪問

跳轉(zhuǎn)到賭博頁面如圖：

惡意代碼攻擊效果演示動畫（雙擊查看）：

攻擊效果演示

結(jié)論

該漏洞已被廣泛利用小程序開發(fā)，攻擊者可以利用該漏洞在服務(wù)器上上傳惡意js文件，甚至是后門程序和web。因此，建議盡快使用-File-插件將CMS站長更新到修復(fù)漏洞的新版本，避免對網(wǎng)站或服務(wù)器的攻擊。

附加部分插入惡意代碼的js

91淘課程：

hxxp://///js/-3.0.0.min.js

無憂健康：

hxxp:///gg/.js

論壇：

hxxp:////js/-1.11.2.min.js

星網(wǎng)：

hxxp:///skin/js/.min.js

西安第四醫(yī)院：

hxxp://///js/-1.7.1.min.js

hxxp://///1506/.html

hxxp://zz.biz/stat.php?id=&=&show=pic