紧盯盗版cms自动更新防止受害站长扩大
录制视频验证:盗取com域名的盗版cms,maccms.pro深夜会在所有版本推送自动更新木马被抓现行!!!
赶紧醒悟吧孩子们!!! 由于时间原因只做了v10测试,v8肯定也被更新木马了!!!
v10会出现3个后门: 黑产们有福了,菜刀直连~~~ 传base64加密的参数f01ef383b96d00f2fd0b83d684655b79_a
\application\index\controller\Video.php ,
\runtime\cache\b8b484d50d4beed042411fd7e44b32c3.php ,
\upload\files\b8b484d50d4beed042411fd7e44b32c3.php
———————————————————————————————-
确认一下真相并不难,虽然只有部分用户被推送木马了,但是也能查到~~~
使用com程序的和pro程序的,直接查看自己的网站目录下有没有那几个后门文件就行了。
~ 开启宝塔防篡改功能可以查看拦截日志~~~
———————————————————————————————
由于www.maccms.com跳转到pro了,我们就直接用pro域名来做解析,
来看看这几个更新接口,看到没有,传入版本号不同,他们返回的内容也不同, 针对不同人群不同地区 推送自动更新包。
随时关注盗版cms的动作,随时抓包取证。 强烈警告那些使用老版本用户赶紧去掉 升级接口和预加载地址和player.js
抓包方法:在登录页面就按F12打开调试器 ,输入账户密码登录, 观察抓包记录。
录制好的几个视频:现场抓包留证据!!!
https://www.zhihu.com/zvideo/1410029804108693504
https://www.zhihu.com/zvideo/1410030196297101313
https://www.zhihu.com/zvideo/1410030402429526016
https://www.maccms.com/update/v10/?c=check&v=2019.1000.0314&p=7.3.4&tp=5.0.24&t=0.013869219251659182&=1628906776476
https://www.maccms.com/update/v10/?c=check&v=2020.1000.1080&p=7.3.4&tp=5.0.24&t=0.013869219251659183&_=1628906776477
https://www.maccms.com/update/v10/?c=check&v=2021.1000.2000&p=7.3.4&tp=5.0.24&t=0.013869219251659184&=1628906776478
https://www.maccms.com/update/2014/?c=check&v=2019.1003&p=7.3.4&t=0.4134381905539173
https://www.maccms.com/update/2014/?c=check&v=2020.1020&p=7.3.4&t=0.4134381905539174
https://www.maccms.com/update/2014/?c=check&v=2021.2000&p=7.3.4&t=0.4134381905539175
https://update.maccms.pro/v10/?c=check&v=2020.1000.3002&p=7.3.4&tp=5.0.24&t=0.013869219251659182&=1628906776476
https://update.maccms.pro/v10/?c=check&v=2020.1000.3002&p=7.3.4&tp=5.0.24&t=0.013869219251659182&_=1628906776476
https://update.maccms.pro/v10/?c=check&v=2021.1000.2000&p=7.3.4&tp=5.0.24&t=0.013869219251659182&=1628906776476
https://update.maccms.pro/v8/?c=check&v=2019.1003&p=7.3.4&t=0.4134381905539173
https://update.maccms.pro/v8/?c=check&v=2020.1020&p=7.3.4&t=0.4134381905539174
https://update.maccms.pro/v8/?c=check&v=2021.2000&p=7.3.4&t=0.4134381905539175