当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158841

漏洞标题:亿恩科技所有虚拟主机空间全部被挂暗链

相关厂商:enkj.com

漏洞作者: 辣条

提交时间:2015-12-07 11:20

修复时间:2015-12-12 11:22

公开时间:2015-12-12 11:22

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-07: 细节已通知厂商并且等待厂商处理中
2015-12-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

亿恩科技所有虚拟主机空间全部被挂暗恋(当黑产开始和空间商产生合作...)

详细说明:

2015年12月4日晚7点10分,哥正在和家人吃着火锅唱着歌,突然一条短信打扰了哥美丽的心情:xxx云监控平台发现您的网站于2015年12月4日19时04分被篡改!请及时检查!不对啊哥在1个小时前还在看了一下网站一切正常啊!怎么这么一会就出事了?
哥在浏览器上输入了我的网站域名尼玛提示网站500错误,首相想到是哥买的虚拟主机所在服务器维护,给主机商亿恩科技打了电话告知服务器没问题。好吧那我估计是代码出错了,连上ftp一看尼玛主页index.php文件在19点04分被修改,下载下来一看被植入了一下暗链代码:

<div id="tesi"><strong style="font-weight: 400"><p>友情链接1:<a href="http://www.sdjnnews.com/hgzqtz/">皇冠足球投注</a>
<a href="http://www.sdjnnews.com/lhc/">六合彩</a> 
<a href="http://www.sdjnnews.com/lhckj/">六合彩开奖</a> 
<a href="http://www.sdjnnews.com/lhckjjg/">六合彩开奖结果</a>
<a href="http://www.sdjnnews.com/lhd/">龙虎斗</a> 
<a href="http://www.sdjnnews.com/lhj/">老虎机</a> 
<a href="http://www.sdjnnews.com/lp/">轮盘</a> 
<a href="http://www.sdjnnews.com/m88/">m88</a>
<a href="http://www.sdjnnews.com/hgzqw/">皇冠足球网</a>
<a href="http://www.sdjnnews.com/hhl/">狠狠撸</a> 
<a href="http://www.sdjnnews.com/hhs/">狠狠射</a> 
<a href="http://www.sdjnnews.com/hjcylc/">黄金城娱乐场</a>
<a href="http://www.sdjnnews.com/hjdc/">皇家赌场</a> 
<a href="http://www.sdjnnews.com/hlgj/">鸿利国际</a> 
<a href="http://www.sdjnnews.com/hq/">换妻</a>
<a href="http://www.sdjnnews.com/hygj/">鸿运国际</a> 
<a href="http://www.sdjnnews.com/jbb/">金宝博</a> 
<a href="http://www.sdjnnews.com/jkmnxy/">解开美女胸衣</a>
<a href="http://www.sdjnnews.com/jsylc/">金沙娱乐场</a> 
<a href="http://www.sdjnnews.com/lb/">立博</a> 
<a href="http://www.sdjnnews.com/lbbc/">立博博彩</a>
<a href="http://www.sdjnnews.com/llxs/">乱伦小说</a>
<a href="http://www.fsgp.cn/ambjl/">百家乐</a>
<a href="http://www.fsgp.cn/amdc/">澳门赌场</a> 
<a href="http://www.fsgp.cn/amwnsr/">澳门威尼斯人</a> 
<a href="http://www.fsgp.cn/bcw/">博彩</a>
<a href="http://www.fsgp.cn/dbw/">赌博</a>
<a href="http://www.zyu8.com/bocaigongsi/">博彩公司</a>
<a href="http://www.zyu8.com/longhudou/">龙虎斗</a></p></div></strong><script>document.getElementById("t"+"e"+"s"+"i").style.display='none';</script>


但是哥网站的模板文件不是index.php 所以浏览器查看网站源的时候并未显示暗链代码,但是index.php被篡改导致程序出错所以浏览器显示500错误!
本以为是哥的网站程序出了漏洞,所以各种检测各种查询,网站访问日志一切正常和第三方监控平台提供的日志记录完全一样,总共才100IP访问,而且没有任何攻击的记录,网站程序里没有一个webshell后门文件。
那么是我空间商的账号出问题了?导致ftp账号密码泄露,等到空间商官网后台查看登陆ip全TMD是我自己的!想不明白啊!臣妾实在想不明白啊!那么是不是服务器商的服务器出现问题了,查询下同服务器的网站吧,不看不知道一看吓一跳!
(服务器二级域名: w55.en.tm服 务器ip: 123.60.134.162)举几个同服务器例子:
http://tsgtouchweb.com/

1.png


http://www.bdg365.com/

2.png


http://www.chaoranchuju.com/

3.png


同服务器里所有的网站全部被篡改了!

4.png


我立刻把情况反映给可以,并且天真的以为这个服务器只是个个例换台服务器就好了!,尼玛客服给我了几台服务器让我挑选!注意亿恩科技的二级域名都是en.tm,刚才的那台就是w55.en.tm 然而我去发现亿恩科技所有的虚拟主机服务器全部沦陷,服务器里的虚拟主机网站都被挂上了暗链!
(服务器二级域名: w67.en.tm服 务器ip: 103.246.244.137)举几个同服务器例子:
http://www.kmsm88.com/Chinese/index.asp

1.png


http://www.hnjdjy.com/

2.png


http://www.kubeier118.com/

3.png


http://www.zssongping.com/

4.png


5.png


这台服务器里70多个也无一幸免!我是个不信邪的人继续查询下去!
(服务器二级域名: w66.en.tm服 务器ip:203.124.13.105)举几个同服务器例子:
http://www.zhnx.org.cn/

1.png


http://www.heao365.com/

2.png


3.png


看到这里大家都应该明白了,www.enkj.com 所有虚拟主机的网站都被植入暗链,查看下服务器使用了云锁安全软件,安全有一定的保证,就算服务器里一个虚拟主机被入侵,想要提权全部其他空间是很有难度的,我的网站是近期才加入亿恩科技的,在我的网站上线以前同服务器的网站就被挂上了黑链,我的网站刚刚上线到亿恩科技的虚拟主机也被挂上黑链这是说不通的,因为除了亿恩科技内部,没有人能这么快知道有新站接入,而且是一个连百度都没收录的新站,那么从另外一方面想:当黑产开始和空间商产生合作会怎样呢?呵呵

漏洞证明:

修复方案:

版权声明:转载请注明来源 辣条@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-12 11:22

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

2015-12-13:已经在处理这个问题。