苹果cms最新漏洞总是被挂马跳转劫持 如何解决
2019年五月下旬,苹果CMS建站用户陆续出现播放页被劫持至棋牌网站的现象。本文将从笔者自身的分析方式出发,剖析CMS作者有意留下的JS漏洞位置和活加载外部JS的全部过程。多事之秋,以华为为代表的一批我国创新型企业不惧外部施压,用铁打的技术和超脱常人的眼界证明了中华儿女的不屈于人,从保险柜里拿出的自主研发备份芯片与操作系统展现了中华民族的铮铮铁骨。我作为一名流淌着中华血液的开发者为此感到深深的自豪,反观苹果CMS开发者,明知自己CMS的用户基础水平不足,却有意在源码中留下漏洞,不顾源码口碑和未来发展,强制劫持用户的访问,将罪恶之手伸向本国同胞。其心态之扭曲,实为汉语言文化圈开发者的最大耻辱。Shame On You!疑似苹果CMS作者老王前日在笔者blog留言称是苹果CMS网站域名17号晚遭到劫持所致。但正是因为苹果CMS在使用者不知情的情况下使用加密的js文件调用了外部地址才为这次影响广泛的劫持事件埋下了伏笔,笔者建议大家无论怎样都要修改相关文件并本地化全部资源以防以后再出现其他情况!
2020年刚开始,苹果CMS又被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的苹果系统版本是V8,V10,很多客户网站被反复篡改,很无奈,通过朋友介绍找到我们SINE安全寻求技术上支持,防止网站被挂马。根据客户的反应,服务器采用的是linux centos系统,苹果CMS版本是最新的V10版本,我们立即成立网站安全应急响应处理,帮助客户解决网站被攻击的问题。
解决方法:
1.更改网站根目录/static/js/player.js下的文件,为如下内容
对于v10版本用户 请下载v10 自己替换
对于v18版本用户 请下载v8 自己替换
2.(非必须项,此项的目的是让js的更改忽略部分CDN和浏览器缓存,此处以v10为例)更改/application/common/controller/all.php
中的第429行以使得JS更改即时对所有用户生效
文件下载地址:链接:https://pan.baidu.com/s/1eZUBaK0Wf0B9VYQ4c_MN_Q 提取码:wmx6
本文来源:软盟基地,转载请注明出处!如果需要定制开发网站、二次开发程序、搭建微商城、制度平台、小程序商城、多端小程序 请联系我们!扫一扫,加我微信