全球主机交流论坛

标题: maccms V10出现大规模被入侵挂马 [打印本页]

作者: 骑猪看日出 时间: 2025-4-7 02:00
标题: maccms V10出现大规模被入侵挂马
本帖最后由骑猪看日出于 2025-4-7 02:25 编辑

挂马文件每个IP只跳一次而且只有国内IP才跳。
丢给AI分析，跟抓包到的跳转地址关联了所以确定了就是这个文件被挂马了。
会请求这个js文件然后跳到**广告。cdn.jsdelivr.vip/jquery .min-3.6.8.js
被修改的系统文件是：application/extra/addons.php
如果这个文件内代码超过11行即可确认被挂马了。还有16进制加密的内容。

大概率是方能CDN就是去年51la跳X广告那伙人搞得。

被挂马后的文件内容

作者: Mer 时间: 2025-4-7 02:14
看不懂，大佬解惑

作者: 背影 时间: 2025-4-7 02:31
技术贴，顶

作者: M100700 时间: 2025-4-7 02:39
说实话，别用什么CMS之类的东西了，让AI给你写一个最安全，影视网站功能又不复杂

作者: wan 时间: 2025-4-7 02:47
文件發上來分析阿

作者: 何处不惹尘埃 时间: 2025-4-7 02:48
不知道为什么, 我服务器跑 maccms10 很卡, 自己写了个就不卡了哎

----------------------------------------------------------------

小尾巴~~~~~

作者: kpxyyyy 时间: 2025-4-7 04:33
老框架了，洞子肯定多。

作者: iyzx 时间: 2025-4-7 07:53
maccms.la和maccms.pro吵了很长时间，都在说对方挂马，不知道现在咋样了

作者: Dante 时间: 2025-4-7 09:52

那这就是被挂马了吧？
咋清除啊大佬

作者: 88170351 时间: 2025-4-7 10:47
就是那波人搞的

作者: 周黑鸭 时间: 2025-4-7 11:23

Dante 发表于 2025-4-7 09:52
那这就是被挂马了吧？
咋清除啊大佬

这是萌芽采集吧

作者: Dante 时间: 2025-4-7 11:24

周黑鸭发表于 2025-4-7 11:23
这是萌芽采集吧

哦哦哦不知道被挂马啥表现，谢谢老哥告知

作者: Kalpeny 时间: 2025-4-7 11:30

Dante 发表于 2025-4-7 11:24
哦哦哦不知道被挂马啥表现，谢谢老哥告知

超过11行

作者: Kalpeny 时间: 2025-4-7 11:31

被挂码了？

作者: balala 时间: 2025-4-7 12:18
这垃圾系统被挂码正常？

作者: lanmin 时间: 2025-4-7 12:28
如果我是开发者我也会挂不东西进去，因为影视网站除了几个大厂都是盗版的，就算是你有钱买了很多正版也不在乎这点开发费，黑吃黑这是很正常不过的，是知道你不正规，我才吃你。

作者: 骑猪看日出 时间: 2025-4-7 13:15

Dante 发表于 2025-4-7 09:52
那这就是被挂马了吧？
咋清除啊大佬

这个是正常的。

作者: 骑猪看日出 时间: 2025-4-7 13:17

Kalpeny 发表于 2025-4-7 11:31
被挂码了？

对被挂马了。去github找到源文件复制一份。然后关闭写入权限试一试。

作者: soyeo 时间: 2025-4-7 13:23
有漏洞？还是升级的时候

作者: 骑猪看日出 时间: 2025-4-7 13:25

soyeo 发表于 2025-4-7 13:23
有漏洞？还是升级的时候

目前未知。2023到2025最新版本都会出现。

作者: acg88 时间: 2025-4-7 13:32

iyzx 发表于 2025-4-7 07:53
maccms.la和maccms.pro吵了很长时间，都在说对方挂马，不知道现在咋样了

一直用的就是magicblack写的，也就是一直以来在更新的官方maccms.la

作者: acg88 时间: 2025-4-7 13:33

Dante 发表于 2025-4-7 09:52
那这就是被挂马了吧？
咋清除啊大佬

这是你用了萌芽采集插件，调用插件，是不是从不干净的地方下了加料的萌芽

作者: 骑猪看日出 时间: 2025-4-7 13:34

acg88 发表于 2025-4-7 13:32
一直用的就是magicblack写的，也就是一直以来在更新的官方maccms.la

一堆都是用github版本的站长在飞机群检查都被日了。这是版本通吃的漏洞。。

作者: acg88 时间: 2025-4-7 13:34
第一，程序是从官方下载安装的吗，第二，有没有用过不干净的插件，导致插件功能被写入。

作者: acg88 时间: 2025-4-7 13:38

骑猪看日出发表于 2025-4-7 13:34
一堆都是用github版本的站长在飞机群检查都被日了。这是版本通吃的漏洞。。 ...

没有完美的程序，我本身从很久前就一直用maccms，影视站也开了七年了，期间被挂过马，当时player播放文件是官方加密的，官方域名掉了之后被菠菜拿了挂马了，我直接整站异地再起，就是搬到另外一个服务器，当时我是月租的buyvm卢森堡，所以没啥损失，服务器都不用重装，重新下程序，安装模板，模板自己过一遍所有代码看看有没有植入，再来就是哪里缺静态文件就搬过来，这样一直没有再被挂马。

作者: 骑猪看日出 时间: 2025-4-7 13:42

acg88 发表于 2025-4-7 13:33
这是你用了萌芽采集插件，调用插件，是不是从不干净的地方下了加料的萌芽 ...

目前观测不是外部的关系。原版程序都会这样

作者: acg88 时间: 2025-4-7 13:42
我看了下这个addons文件，你是找错地方了，你私信你的站我看看，一般f12看加载内容

作者: acg88 时间: 2025-4-7 13:44

骑猪看日出发表于 2025-4-7 13:42
目前观测不是外部的关系。原版程序都会这样

我每天都用我的站看剧，哪里被跳窗口，哪里被植入我看f12也能看出来，我站没开防f12模式，就是为了方便自己找错误。

作者: 骑猪看日出 时间: 2025-4-7 13:45

acg88 发表于 2025-4-7 13:38
没有完美的程序，我本身从很久前就一直用maccms，影视站也开了七年了，期间被挂过马，当时player播放文件 ...

然后又发现有人github反馈了个upload目录下的vod_file文件夹内也会出现后门文件。检查发现还真有一个站里面出现了。。蛋疼。程序用的人多了。自然被人盯上。黑吃黑~

作者: acg88 时间: 2025-4-7 13:49

骑猪看日出发表于 2025-4-7 13:45
然后又发现有人github反馈了个upload目录下的vod_file文件夹内也会出现后门文件。检查发现还真有一个站里 ...

本身很多人被挂马第一时间都怀疑官方程序，其实很多时候你发现被挂马时，你整个站甚至整个服务器都不安全了，因为挂马的人，放了一个钩子，就会放一堆钩子，你人手时是难清理完的，最简单方法，另起炉灶。

作者: bysun 时间: 2025-4-7 14:35
这个是官方码，不管你信不信

作者: Mer 时间: 2025-4-7 14:43
首涂不是出了一个定制版，是不是跳出一个坑又进入一个坑？

作者: yeyesg 时间: 2025-4-7 19:00
不明觉厉

作者: zeb 时间: 2025-4-7 19:13
本帖最后由 zeb 于 2025-4-7 19:15 编辑

方能51La插入的，我之前就曝光过
论坛里也有其他人说过，我记得之前还有个人发过文章，结果被人肉各种攻击
这么和你说吧，方能51La收购了苹果CMS，现在你能下到的所有维护的版本都是他们搞的，每个版本里面都插了毒

作者: Mer 时间: 2025-4-8 00:14
application/extra/addons.php 我查了一下，应该不是这个文件。

作者: 骑猪看日出 时间: 2025-4-8 01:13

Mer 发表于 2025-4-8 00:14
application/extra/addons.php 我查了一下，应该不是这个文件。

如果代码不超过12行应该是没被入侵。

作者: Mer 时间: 2025-4-8 23:50

骑猪看日出发表于 2025-4-8 01:13
如果代码不超过12行应该是没被入侵。

被入侵?入侵服务器还是程序？入侵程序那就要重新安装程序？那里有干净的程序？

作者: andox 时间: 2025-4-9 03:59
那把application/extra/addons.php  改成

<?php

return array (
  'autoload' => false,
  'hooks' =>
  array (
  ),
  'route' =>
  array (
  ),
);

就可以咯

作者: xrp 时间: 2025-4-9 09:10

Mer 发表于 2025-4-8 00:14
application/extra/addons.php 我查了一下，应该不是这个文件。

这个文件没超11行，新ip与新设备，特别是新设备，点击播放页时跳转x导航站

作者: xrp 时间: 2025-4-9 09:12

andox 发表于 2025-4-9 03:59
那把application/extra/addons.php 改成

没有用啊，我程序就是11行，还是会跳转

作者: 骑猪看日出 时间: 2025-4-19 00:32

xrp 发表于 2025-4-9 09:12
没有用啊，我程序就是11行，还是会跳转

如果是宝塔。重装下nginx。或者看看upload/vod_file/这个目录下是否存在图片和其他文件。这个目录也有人说被上传了木马。正常是只有一个index.htm

作者: nk123 时间: 2025-4-19 00:52
你不是一个人
https://443502.xyz/thread-1393400-1-1.html

欢迎光临全球主机交流论坛 (https://443502.xyz/)