该事件已经是过去式了,官方已修复。看到这里可以直接关闭了,放心升级。
2022.06.18早上腾讯云突然提示网站文件异常,登陆后发现在pbootcms缓存文件夹中生成了一个一句话木马。经过分析日志排查发现该小马文件与官方升级服务器有关,与群友沟通了解到6月17日就有同样的情况发生,再之前因为无其他反馈,所以具体事件的发生日期不得而知。
经过多个站点测试排查,基本上确认,只要是http的站点,在这两天只要登陆后台,就会被官方服务器植入一句话密码。你没看错,只要登陆后台或者执行过升级操作就会被植入。cms88.com在第一时间在交流群发布了公告并给予了临时的解决方案。然后立刻通过多种方式联系作者,反馈该情况。晚上10点40多,官方技术回复说已经解决了。
博主有点诧异的是,官方这样冷处理。连个通告都没有发。这样的操作是有点令人失望的。以官方20W+用户量估算一下,本次事件至少会有几百+用户中招(上不封顶),毕竟只要登陆后台就有可能中招。怎么说也应该通知大家清理一下缓存文件夹,删除掉一句话木马的隐患。但是,博主没看到任何通知,就看到了一个万能码活动公告。
这件事情让人细思极恐,能入侵到官方服务器,有很大的概率**************************(整改措辞,但是我想不到怎么整改,直接打码了)。接下来的安全防范之路更加艰难了。pbootcms被针对上了,如果被挖掘出注入点,pb网站分分钟沦陷。
最后还是建议大家尽快清理一次runtime文件夹吧。
紧急通知:近期请不要在pbootcms后台进行在线升级、在线更新操作!
紧急通知:近期请不要在pbootcms后台进行在线升级、在线更新操作!
紧急通知:近期请不要在pbootcms后台进行在线升级、在线更新操作!
如果你是站长,请相互转发一下。这事吧,有点严重。
删除该文件:apps/admin/controller/system/UpgradeController.php
若想保留升级功能,则先进行如下操作:
打开文件 /apps/admin/view/default/system/home.html 在代码底部删除该代码。
<script> $.ajax({ type: 'GET', url: 'https://www.pbootcms.com/index.php?p=/upgrade/check&version={APP_VERSION}.{RELEASE_TIME}.{$revise}&branch={$branch}&snuser={$snuser}&site={$site}', dataType: 'json', success: function (response, status) { if(response.code==1){ $("#check").html($("#check").html()+'<span class="layui-badge-dot"></span>'); } } }); </script>
如果你近期进行过pbootcms在线升级操作,那么
请删除一次runtime文件夹。
请删除一次runtime文件夹。
请删除一次runtime文件夹。
不要怕,直接删。
其他不过多表述了,以官方通告为准。
匿名用户
CMS博客
匿名用户
CMS博客