近期，南通伍林堂文化传播有限公司旗下伍林堂安全应急响应中心，因互联网产品安全生产漏洞，从而成功捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css（伪装加密后的php文件），直接打开后展示“js.css”（php语言加密代码）。如下图所示：

经过应急响应中心不断地排查发现该文件有捕获样本情报、 分析解密后门文件代码、分析域名资产和漏洞影响的重大安全隐患。我们通过解密改文件得到如下代码：

<title>请勿使用非法用途</title>
<meta http-equiv=&quot;content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
 
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
 
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软！</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>

代码运行图如下：

在单独运行该文件代码html时,无可交互运作，经深度混淆解密后得到该木马后门远控代码如下：

经过对该木马文件域名资产acedgwf.cn排查信息发现，该域名注册邮箱jinganghuluwa6666@gmail.com；注册主办单位为王艺杰的分子共注册域名2074个左右，打开其所有的域名查询均为博彩及黄色网站。

点击打开其注册的任意域名访问结果如下图所示：

由此可见，该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 [https://www.eb.com.cn/]所购买的域名；由该dns解析可得，此域名的dns服务商为：https://www.dnsdun.com/ 配置的dns服务；此人Email为： jinganghuluwa6666@gmail.com，共计注册域名2074个；至于服务器应属于此人在GitHub pages搭建，后期为了防止其Git仓库曝光又将自定义域名转至 [https://www.eb.com.cn/]，该域名和服务器为暂存地或该服务器为远控木马前端登录地。

该漏洞具体产生影响：将服务期内可读可写的内存属性改为可读可执行，通俗讲就是篡改数据库和破坏服务器，进行远控木马种植和后门隐藏也包括完全接管该服务器。通过PHP文件后门调取受害者服务器系统设置，脱库删库SQL数据库文件导出，窃取管理员权限并植入窗口欺骗型病毒{0633EE93-D776-472f-A0FF-E1416B8B2E3A} 篡改注册表等等一系列操作，最终完全僵尸化受害者服务器。由于此木马可能存在域名验证问题，故无法保证完全解密，深度解密失误会造成的部分代码缺失。

目前侦测发现：江苏南通、山东东营等多地企业政府职能机构已经被篡改数据，利用Think远程代码执行漏洞进行脱库上传免杀木马，篡改数据将网站重定向至博彩、色情网站（相关的被篡改网站仅需要在任意搜索引擎搜索jinganghuluwa6666@gmail.com均可展现）。我司2018年7月14日~2019年1月2日；2020年1月16日~6月12日两段被篡改周期内，均为远程代码执行脱库上传木马。直接造成了巨大的经济损失，并因篡改内容被某公司被告侵权。日前，我司已主动联系南通市通州区公安局网安支队及南通市公安局港闸分局网安大队的相关人员，对此次长时间篡改数据内容的问题作出相关情况说明。

接下来，我们伍林堂将在系统安全方面投入更多技术力量，感谢您对伍林堂的长期以来的信任与支持！

南通伍林堂文化传播有限公司

伍林堂安全应急响应中心

二〇二〇年六月十五日