CF管理员显示根网站

时间:2014-07-15 15:03:27

标签: coldfusion coldfusion-9 coldfusion-administrator

我的CFIDE今天早上发疯了,我无法找到造成这种情况的原因。当我从example.com/cfide/administrator/index.cfm登录时左侧的一些选项卡正常工作,有些正在显示example.com的索引​​页面,就像在iframe中一样...我重新启动了应用服务器,但问题仍然存在。关于如何调试此事的任何建议?

1 个答案:

答案 0 :(得分:1)

因此,后代就是我们找到的。

有两种可能影响您的漏洞利用:

  1. 比特币利用(miner.d)
  2. ckeditor文件上传漏洞利用(这是h.cfm文件)
  3. 还有其他但这些是常见且已知的。两者都利用底层的Java展开工作,要么调用更恶毒的东西,提供服务器元数据,要么展开计划任务以激活工蜂以消耗资源做管理员不知道的事情。

    因为我们发现我们有一个名为fusebox.cfm的h.cfm品种(用加密的CF5加密混淆)。如果你可以打开文件,你会看到h.cfm文件并打开它你会看到UGLY和混淆代码,但不是很复杂。编码器的代码可以揭示很多内容,如果你解构和格式化这个特定的代码,你就会发现开发人员不是CF的本地代码,并且从脚本风格跳到CMFL风格(不限于上限)。

    (here is the Stack Overflow link with the raw code (be careful))

    它也被命名为:i.cfm,h9.cfm,r.cfm,adss.cfm或fusebox.cfm这里是黑帽页面,为您提供大量信息。 I'm viewing the cached site because I don't trust the blackhat sites.(因为我的系统上加载了一些引发防病毒警报的内容)。

    The file may be unreadable so here is a link to a site that describes some github sourcecode that can decrypt it for you.那就是Coldfusion 5垃圾,它仍然一次又一次漂浮。 (我很确定它看起来与我上面粘贴的SO链接中的代码相似)。

    死后:还有一个冷血服务从恶意中拯救出来。请记住,在您的系统中运行并查看是否可以找到这样的内容永远不会受到伤害。对服务器开发人员而言,使事情变得更加困难也绝不会让人痛苦;)