IP.Board CMS是一款著名的CMS系统,它允许用户很容易地创建和管理在线社区。而最近Sucuri的研究员最近发现了一个针对IP.Board的重定向。经过分析,研究员们发现这种攻击已经持续了2年之久了。
访客被恶意重定向
重定向的症状非常典型,某些通过Google搜索的访客会被重定向到一个恶意网站:filestore321 .com/download .php?id=hexnumber。每位访客只会被重定向一次,重定向后再点击不会被重定向。
我们捕捉HTTP流量后发现,网页会从"hxxp://forum .hackedsite .com/index.php?ipbv=4458734cb50e112ba7dd3a154b22ecd9&g=js"加载脚本,脚本内容如下:
document.location='hxxp://filestore321 .com/download .php?id=8-digit-hex-number'
工作原理
那重定向是如何通过IP.Board运行的呢?由于我们对IP.Board还不是像WordPress那样了解,因此查找来源废了我们一番功夫。我们参考了2年前Peter Upfold的一篇 文章 。在这篇文章中,我们找到了重定向的工作原理,并且发现这个手法两年前就出现了,而且没有重大的改变。
大家并不需要访问Peter Upfold的文章,我会在此解释恶意软件的工作原理和行为模式。
IP.Board使用的皮肤会同时储存在数据库和硬盘上(以文件形式储存),如果有缓存的话就会存储在 ./cache/skin_cache/cacheid_n 下,n代表皮肤的编号。我们发现的受感染的皮肤文件就是 ./cache/skin_cache/cacheid_4 下的skin_global.php文件。
高亮选中的这6行就是我们在这个120kb的皮肤文件找到的恶意代码。
这三行经过加密的代码中的变量名用到了 $rsa 、 $pka 、 $pkb ,让人误认为是什么安全密钥。
首先,它会检查访客来源是否是来自搜索引擎或者是社交网络链接并且确认不是什么爬虫。如果这是访客的首次访问(没有 lang_id cookie),它就会在网页中注入一段脚本:
<script type='text/javascript' src='hxxp://hackedsite .com/index.php?ipbv=<some-hash>&g=js'>
[1] [2] [3] 下一页