今天早上我的 CFIDE 刚刚发疯,我找不到是什么原因造成的。example.com/cfide/administrator/index.cfm
当我从左侧的某些选项卡登录时工作正常,并且某些选项卡显示 example.com 的索引页面,就像在 iframe 中一样...我重新启动了应用程序服务器,但问题仍然存在。关于如何调试这个东西的任何建议?
1 回答
因此,对于后代来说,这就是我们所发现的。
有两种可能的漏洞可能会影响您:
- 比特币漏洞利用(miner.d)
- ckeditor 文件上传漏洞(这是 h.cfm 文件)
还有其他的,但这些是常见的和已知的。两者都利用底层 Java 来展开工作,这些工作要么调用更险恶的东西,提供服务器元数据,要么展开计划任务以触发工蜂以消耗资源做管理员不知道的事情。
因此,正如我们发现的那样,我们有一个名为 fusebox.cfm 的 h.cfm 变种(用奖励加密的 CF5 乱码进行混淆)。如果您可以打开该文件,您将看到该 h.cfm 文件并打开它,您将看到 UGLY 和混淆代码,但不是很复杂。编码员的代码可以揭示很多内容,如果您解构并格式化此特定代码,您会发现开发人员不是 CF 本地人,而是从脚本样式跳转到 CMFL 样式(大写字母)。
它也被命名为:i.cfm、h9.cfm、r.cfm、adss.cfm 或 fusebox.cfm 这是为您提供大量信息的黑帽页面。我正在查看缓存站点,因为我不信任黑帽站点。(因为有人在我的系统上加载了一些引发防病毒警报的东西)。
该文件可能不可读,因此这里是一个站点的链接,该站点描述了一些可以为您解密的 github 源代码。那是Coldfusion 5 垃圾,仍然不时漂浮。(我很确定它看起来与我在上面粘贴的 SO 链接中的代码相似)。
死后:又一次从恶棍中拯救出来的冷融合发球。请记住,通过您的系统运行并查看是否可以找到任何类似的东西永远不会受到伤害。对于服务器开发者来说,让事情变得更加困难也永远不会受到伤害;)