域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
臨近春節(jié),某聚合支付平臺(tái)被攻擊篡改,導(dǎo)致客戶提現(xiàn)銀行卡信息被修改,支付訂單被惡意回調(diào),回調(diào)API接口的數(shù)據(jù)也被篡改,用戶管理后臺(tái)被任意登入,商戶以及碼商的訂單被自動(dòng)確認(rèn)導(dǎo)致金額損失超過幾十萬,平臺(tái)被攻擊的徹底沒辦法了,通過朋友介紹,找到我們SINE安全公司尋求網(wǎng)站安全防護(hù)支持,針對(duì)客戶支付通道并聚合支付網(wǎng)站目前發(fā)生被網(wǎng)站攻擊,被篡改的問題,我們立即成立了網(wǎng)站安全應(yīng)急響應(yīng)小組,分析問題,找到漏洞根源,防止攻擊篡改,將客戶的損失降到最低。
我們將這次安全處理的解決過程分享出來,也是希望整個(gè)支付平臺(tái)更加的安全。首先對(duì)接到客戶這面,我們Sinesafe安排了幾位從業(yè)十年的安全工程師來負(fù)責(zé)解決此次聚合支付平臺(tái)被攻擊,篡改的安全問題,了解客戶支付網(wǎng)站目前發(fā)生的癥狀以及支付存在哪些漏洞,客戶說支付平臺(tái)運(yùn)營(yíng)一個(gè)月時(shí)出現(xiàn)過這些問題,然后在運(yùn)營(yíng)的第二個(gè)月陸續(xù)出現(xiàn)幾次被攻擊篡改的情況,客戶自己的技術(shù)根據(jù)網(wǎng)站日志分析進(jìn)攻路線排查加以封堵后,后續(xù)兩個(gè)月支付均未被攻擊,就在最近快過年的這幾天,支付訂單被篡改,很多未支付的訂單竟然被篡改為成功支付,并從通道返回成功數(shù)據(jù),導(dǎo)致平臺(tái)損失較大,隨即對(duì)支付通道進(jìn)行了暫停,并聯(lián)系碼商停止支付接口??蛻暨€反映支付鏈接被劫持,跳轉(zhuǎn)到別人那去了,導(dǎo)致很多支付的訂單都被支付到攻擊者的賬戶中去了,損失簡(jiǎn)直不可言語。
很多商戶以及集團(tuán)使用聚合支付平臺(tái),那么損失的就是商戶與支付平臺(tái)這兩家,商戶有些時(shí)候?qū)π〗痤~的訂單并沒有詳細(xì)的檢查,包括支付平臺(tái)也未對(duì)一些小金額的訂單仔細(xì)的審計(jì),導(dǎo)致攻擊者混淆視線模擬正常的支付過程來篡改訂單狀態(tài)達(dá)到獲取自己利益的目的。支付通道對(duì)接,回調(diào)下發(fā)都是秒級(jí)的,支付訂單并發(fā)太大,幾乎人工根本察覺不到資金被盜走,客戶從通道對(duì)比聚合支付的總賬,發(fā)現(xiàn)金額不對(duì)等,這才意識(shí)到網(wǎng)站被黑,被入侵了。
接下來我們開始對(duì)客戶的網(wǎng)站代碼,以及服務(wù)器進(jìn)行全面的人工安全審計(jì),檢測(cè)網(wǎng)站目前存在的漏洞以及代碼后門,客戶網(wǎng)站使用的是thinkphp+mysql數(shù)據(jù)庫(kù)架構(gòu),服務(wù)器系統(tǒng)是linux centos使用寶塔面板作為服務(wù)器的管理,我們打包壓縮了一份完整的聚合支付源代碼,包括網(wǎng)站進(jìn)1個(gè)月的訪問日志也進(jìn)行了壓縮,下載到我們SINE安全工程師的本地電腦,通過我們工程師的一系列安全檢測(cè)與日志的溯源追蹤,發(fā)現(xiàn)了問題。網(wǎng)站存在木馬后門也叫webshell,在文件上傳目錄里發(fā)現(xiàn)的,redmin.php的PHP腳本木馬,還有coninc.php數(shù)據(jù)庫(kù)管理的木馬后門,如下圖所示:
這個(gè)數(shù)據(jù)庫(kù)木馬后門的作用是可以對(duì)數(shù)據(jù)庫(kù)的表段進(jìn)行修改,通過檢查日志發(fā)現(xiàn)訂單支付狀態(tài)被修改的原因就是通過這個(gè)數(shù)據(jù)庫(kù)木馬后門進(jìn)行的,對(duì)未支付的訂單狀態(tài)進(jìn)行了數(shù)據(jù)庫(kù)的修改,繞過上游通道的回調(diào)接口數(shù)據(jù)返回,直接將狀態(tài)改為支付成功,并返回到商戶那面將充值金額加到了客戶網(wǎng)站上,攻擊者直接在客戶網(wǎng)站上消費(fèi)并提現(xiàn),所有的損失都由支付平臺(tái)承擔(dān)了。我們SINE安全技術(shù)緊接著對(duì)支付提交功能代碼進(jìn)行安全審計(jì)的時(shí)候發(fā)現(xiàn)存在SQL注入漏洞,可以UPDATE 惡意代碼到數(shù)據(jù)庫(kù)中執(zhí)行,導(dǎo)致可以修改數(shù)據(jù)庫(kù)的內(nèi)容,并生成遠(yuǎn)程代碼下載到網(wǎng)站根目錄下,生成webshell文件,TP架構(gòu)本身也存在著遠(yuǎn)程代碼執(zhí)行漏洞,導(dǎo)致此次網(wǎng)站被攻擊被篡改的根源就在于此,我們立即對(duì)該網(wǎng)站漏洞,也算是TP框架漏洞進(jìn)行了修復(fù),對(duì)網(wǎng)站文件目錄做了防篡改安全部署,禁止任何PHP文件的生成。
繼續(xù)安全檢測(cè)我們發(fā)現(xiàn)客戶網(wǎng)站的商戶以及碼商用到的用戶登陸功能存在任意登入漏洞,程序員在寫代碼的過程中未對(duì)用戶的狀態(tài)進(jìn)行判斷,導(dǎo)致用戶后臺(tái)被隨意登入,攻擊者可以登陸后臺(tái)去確認(rèn)未支付的訂單,直接將訂單設(shè)為支付成功并返回到商戶網(wǎng)站中去,來實(shí)現(xiàn)資金的盜取。我們對(duì)客戶的后臺(tái)登陸功能進(jìn)行了修復(fù),對(duì)用戶的所屬權(quán)限進(jìn)行判斷,以及數(shù)據(jù)庫(kù)密碼的效驗(yàn)。至此我們SINE安全技術(shù)清除了所有支付平臺(tái)里存在的木馬后門文件,包括網(wǎng)站漏洞都進(jìn)行了全面的修復(fù),對(duì)網(wǎng)站進(jìn)行全面的加固與防御,如果您的聚合支付,或者是支付通道系統(tǒng)出現(xiàn)被篡改,被攻擊的問題,建議找專業(yè)的網(wǎng)站安全公司來解決處理,國(guó)內(nèi)SINESAFE,啟明星辰,綠盟,深信服都是國(guó)內(nèi)比較專業(yè)的,也希望我們這次的安全問題處理過程分享,能讓支付平臺(tái)的網(wǎng)絡(luò)安全更上一層,平臺(tái)越安全,我們的支付越安全,資金也就越安全。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!