V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fiht
V2EX  ›  分享发现

Typecho install. PHP 中有后门

  •  4
     
  •   fiht · 2017-10-27 08:44:51 +08:00 · 9822 次点击
    这是一个创建于 2621 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在安全圈内比较火了,自己之前的博客也是用的这个框架。

    相关链接: Install.php 代码分析 Typecho 事件始末 各位大佬自查一下?

    第 1 条附言  ·  2017-10-27 15:26:45 +08:00
    官方解释: https://joyqi.com/typecho/about-typecho-20171027.html
    应该是误会了,不过漏洞确实存在,请各位按照官方说明进行修复。
    61 条回复    2017-10-29 09:57:20 +08:00
    Sanko
        1
    Sanko  
       2017-10-27 08:53:58 +08:00 via Android
    方了
    xiqingongzi
        2
    xiqingongzi  
       2017-10-27 08:58:30 +08:00
    RobertYang
        3
    RobertYang  
       2017-10-27 08:58:50 +08:00 via Android
    前排吃瓜,还好没有 typecho 的站
    naiba
        4
    naiba  
       2017-10-27 09:00:20 +08:00 via Android
    。。。 @joyqi
    zangbob
        5
    zangbob  
       2017-10-27 09:00:24 +08:00
    iFlicker
        6
    iFlicker  
       2017-10-27 09:00:27 +08:00 via Android
    正在用。。。
    kn007
        7
    kn007  
       2017-10-27 09:03:01 +08:00 via Android
    唔,不用 typecho 的路过
    Kilerd
        8
    Kilerd  
       2017-10-27 09:05:26 +08:00 via iPhone
    正好找个借口换了 typecho
    arnofeng
        9
    arnofeng  
       2017-10-27 09:06:15 +08:00
    删了 install.php 就行了呗
    torbrowserbridge
        10
    torbrowserbridge  
       2017-10-27 09:13:35 +08:00
    是此人吗,sf 创始人?
    blakejia
        11
    blakejia  
       2017-10-27 09:16:50 +08:00
    正好找个借口换了 typecho + 1
    CreSim
        12
    CreSim  
       2017-10-27 09:20:01 +08:00 via Android
    问一下你们换了 typecho 准备用什么呢,静态博客是真的不想用
    miyuki
        13
    miyuki  
       2017-10-27 09:20:28 +08:00 via Android
    吃瓜
    trydgame
        14
    trydgame  
       2017-10-27 09:20:55 +08:00 via Android
    吃瓜群众
    f2f2f
        15
    f2f2f  
       2017-10-27 09:21:08 +08:00
    国产 blog 系统真是挂的差不多了。还是老实用臃肿的 wp 吧
    lidasd
        16
    lidasd  
       2017-10-27 09:23:30 +08:00
    吃瓜
    zrj766
        17
    zrj766  
       2017-10-27 09:24:21 +08:00 via Android
    typecho 一直当做记事本,搞吧搞吧,我那个笔记本站搞了没任何价值,2333,反正本地 网盘都有备份
    FFLY
        18
    FFLY  
       2017-10-27 09:24:43 +08:00
    还好很久之前就已经不用了
    kn007
        19
    kn007  
       2017-10-27 09:25:25 +08:00 via Android   ❤️ 1
    @f2f2f 其实臃肿只是功能多,觉得用不上而已。wordpress 优化好,蛮快。( wordpress 有点像 Android,你需要折腾)
    像我,感觉很多功能就能用得上,而且速度比 typecho 也没区别啊,相反我没觉得 typecho 快多少。
    美国机: https://kn007.net
    CEBBCAT
        20
    CEBBCAT  
       2017-10-27 09:28:12 +08:00 via Android
    每次梯子成批跪、安全大漏洞都有人说“还好 balabalabala ”

    🤤
    xnotepad
        21
    xnotepad  
       2017-10-27 09:28:17 +08:00
    越来越懒,现在都改用静态博客系统了。发文章只要 `git push` 一下就行,方便。
    joyqi
        22
    joyqi  
       2017-10-27 09:31:29 +08:00 via iPhone   ❤️ 8
    莫慌莫慌,几天前已经修复了,如果等不及正式版,可以先删掉 install.php
    Shura
        23
    Shura  
       2017-10-27 09:32:27 +08:00 via Android
    @xnotepad 越来越懒,最后还是换回了 wp,操作方便。
    Tink
        24
    Tink  
       2017-10-27 09:33:20 +08:00 via iPhone
    正常人安装完不会把 install.php 删了吗
    miyuki
        25
    miyuki  
       2017-10-27 09:35:33 +08:00 via Android
    @joyqi 惊了,commit 本人
    49gd
        26
    49gd  
       2017-10-27 09:38:53 +08:00
    @joyqi 是作者么。。
    minbaby
        27
    minbaby  
       2017-10-27 09:39:27 +08:00
    防不胜防啊, 赶紧偷偷删了 install.php
    only0jac
        28
    only0jac  
       2017-10-27 09:45:57 +08:00 via Android   ❤️ 5
    大家都说删了 install 就行了,就没有人想问问 @joyqi 为什么会有这段代码吗?
    flyz
        29
    flyz  
       2017-10-27 09:54:24 +08:00 via Android
    @joyqi 1.1 正式版多久发布呀,用了开发版一段时间了。
    junbguistar
        30
    junbguistar  
       2017-10-27 09:55:23 +08:00
    torbrowserbridge
        31
    torbrowserbridge  
       2017-10-27 09:57:26 +08:00
    “已经修复”,呵呵呵呵。
    nazor
        32
    nazor  
       2017-10-27 10:12:15 +08:00 via iPhone
    ???这也太恶心了吧
    demo
        33
    demo  
       2017-10-27 10:30:38 +08:00   ❤️ 1
    凉了,准备换掉 typecho
    nazor
        34
    nazor  
       2017-10-27 11:13:32 +08:00   ❤️ 2
    "我们发现 祁宁 其实就是 joyqi,而 joyqi 是 typecho 的核心开发者,他把这段代码在 2014-04-08 写好后直接提交在了 master 中,查看 v0.9-14.5.25 的 releases,其中已经包含了这段代码,也就是说,这段代码形似后门的代码由核心开发者提交后,存在了三年半的时间,都没有任何人发现。。。。

    那么究竟是谁添加的这段鸡儿用没有,但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧,也或许,这真的是开发者的一时手滑。细思恐极。"

    @joyqi
    Telegram
        35
    Telegram  
       2017-10-27 11:17:38 +08:00   ❤️ 4
    @joyqi #21 这来一句修复就好了?不准备解释点什么吗?
    bsder
        36
    bsder  
       2017-10-27 11:27:40 +08:00
    好吓人,用过一段 typecho,还好现在不搞 blog 那套了。
    ScotGu
        37
    ScotGu  
       2017-10-27 11:49:50 +08:00
    install.php 和 install 目录 不是安装后第一时间干掉么?
    zgk
        38
    zgk  
       2017-10-27 11:51:46 +08:00
    方什么呢,漏洞本身并没那么容易利用啊
    https://paper.seebug.org/424/

    部署的时候把运行 php-fpm 的用户独立开,配置好权限,让它只对 usr/uploads 才有写入权限,即使是 getshell 应该也不用太担心吧。
    Mutoo
        39
    Mutoo  
       2017-10-27 11:53:27 +08:00   ❤️ 1
    翻了下日志,还真的中招了,后门都种好了。

    [26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
    ctsed
        40
    ctsed  
       2017-10-27 11:59:53 +08:00 via Android
    @zgk 呵呵,在你网站上搞个 shell 给大伙玩玩?
    hjc4869
        41
    hjc4869  
       2017-10-27 12:02:45 +08:00 via iPhone
    @zgk 不会有人关心你的 root 权限或者其他文件,有网站本身运行的权限,就可以拿来爆你的数据库,以及做肉机 ddos 了
    fiht
        42
    fiht  
    OP
       2017-10-27 12:12:15 +08:00   ❤️ 1
    @zgk 不要把漏洞分析和漏洞利用混为一谈。
    xvx
        43
    xvx  
       2017-10-27 12:43:04 +08:00 via iPhone
    当年很多人在说换 Typecho 的时候,我忍住了继续用臃肿的 WP,因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
    现在用自己开发的博客( django 框架)……既能装逼,又有官方维护底层框架,岂不美哉? hiahia~
    bbsteel
        44
    bbsteel  
       2017-10-27 12:44:45 +08:00 via Android   ❤️ 2
    @zgk 对后门如此宽容,是平时戴习惯原谅帽吗?
    Noisky
        45
    Noisky  
       2017-10-27 12:45:08 +08:00
    一直用的 typecho,不过既然出了漏洞,就把 install.php 改成输出一句话吧 = =
    ctsed
        46
    ctsed  
       2017-10-27 13:03:07 +08:00 via Android
    这段代码只要你设置了正确的 referer,然后加上一个 finish 参数就可以进入到这个分支中,他会直接反序列化 cookie 中传入的一个值,然后进行一些 db 初始化操作,但是这个初始化操作实际上没有任何一丁点作用,所以这里有这段代码本身就非常奇怪
    zgk
        47
    zgk  
       2017-10-27 13:08:31 +08:00   ❤️ 1
    lichifeng
        48
    lichifeng  
       2017-10-27 13:11:59 +08:00 via Android   ❤️ 1
    @CreSim 试试 GRAV 静态的 挺好的
    zgk
        49
    zgk  
       2017-10-27 13:43:06 +08:00
    @ctsed
    @bbsteel
    可能我的表述还是有点问题,sorry,并不是说我对漏洞和后门宽容的意思,平时注意好程序的执行权限的分配,在搞清楚漏洞发生的原因还有解决方式的情况下,不需要太过于紧张吧。

    我个人是十分信任 Typecho 的作者的,Typecho 也是陪伴着我入门编程和 Web 的一个程序,也比较有感情,所以我比较倾向于维护作者这边。

    @hjc4869 这一点我的确没考虑清楚,我只想着文件那一块了,感谢你指出我的不足。
    Telegram
        50
    Telegram  
       2017-10-27 13:49:49 +08:00 via iPhone
    @zgk 看了下官方回应,还算比较可信的,看来应该是误会。
    echopan
        51
    echopan  
       2017-10-27 13:52:28 +08:00
    我记得我貌似没删除 install.php
    arcytan
        52
    arcytan  
       2017-10-27 14:29:16 +08:00
    VicYu
        53
    VicYu  
       2017-10-27 14:38:09 +08:00
    歪个楼,看第二篇文章,看到说“鸡儿用没有”的措辞后,仔细看了看这不是阿里云牌子的公众号吗,如此措辞,不太好吧?
    wsy2220
        54
    wsy2220  
       2017-10-27 15:11:50 +08:00
    还是自己写的放心...
    CreSim
        55
    CreSim  
       2017-10-27 17:23:46 +08:00
    @lichifeng #48 感谢,GRAV 真的好棒,感觉又打开了一个新的大门,我已经决定认真研究这个 cms 然后把主站搬过去了!
    lichifeng
        56
    lichifeng  
       2017-10-27 19:18:03 +08:00 via Android
    @CreSim 我很喜欢这个,很 GEEK,但是它一直没在流行起来不知道为什么。大概中文资料太少了
    RIcter
        57
    RIcter  
       2017-10-27 20:55:16 +08:00
    @Kilerd 其实昨天我偷偷帮你把 install.php 删掉了..
    claysec
        58
    claysec  
       2017-10-27 21:01:09 +08:00
    ```php
    <?php die("404 Not found");?>
    ```
    Athrob
        59
    Athrob  
       2017-10-28 04:32:55 +08:00
    强迫症也是有好处的, 安装完第一时间就把 install.php 删掉了.
    Trumeet
        60
    Trumeet  
       2017-10-28 11:21:31 +08:00 via Android
    在用 Hexo (逃跑
    lestat
        61
    lestat  
       2017-10-29 09:57:20 +08:00 via iPhone
    觉得 typecho 不好看,用 hexo 的路过
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   976 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:06 · PVG 05:06 · LAX 13:06 · JFK 16:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.