8. 编辑器漏洞致网站被挂黑页

事件概述

某日，安服团队接到某政府部门的应急响应求助，其官网被上传黑页，需要进行排查分析并溯源。

应急人员抵达现场后，对网站web目录进行排查，成功定位黑页位置，同时发现网站备份文件www.zip，并在备份文件中发现版本为v4.1.3的kindeditor编辑器。对web日志进行分析发现，该日志中存在某公网IP（x.x.x.62）对失陷网站上传黑页文件、压缩文件63.zip的记录，以及对www.zip文件的扫描记录。应急人员对63.zip进行分析发现，该压缩文件中包含webshell文件，但无法解析成功。

应急人员协助删除黑页，恢复网站正常运行，并最终确认，攻击者首先对网站进行扫描，发现网站备份文件www.zip并进行分析，获取了网站目录结构和配置信息，同时在备份文件中发现版本为V4.1.3的kindeditor编辑器，攻击者利用该版本编辑器存在的文件上传漏洞，上传了包含webshell的压缩文件63.zip，但未能解析成功，继而上传黑页文件，对网站进行了恶意篡改。为了进一步获取网站权限，攻击者还对该网站进行SQL注入、敏感路径扫描、XSS攻击等操作，但均未成功。

防护建议

• 升级kindeditor编辑器到最新版本，或者在不影响业务的情况下关闭相关文件上传功能
• 建议部署网页防篡改设备，对网站文件、目录进行保护，拦截黑客的篡改操作，实时监控受保护的文件和目录，发现文件被篡改时，立即获取备份的合法文件并进行文件还原
• 对网站根目录文件上传功能，采用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则
• 加强日常安全巡检工作，定期对系统配置、网络设备配置、安全日志以及安全策略落实情况进行检查，定期安装补丁、更新病毒库，常态化信息安全工作
• 部署高级威胁监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，安全事件发生时可提供可靠的追溯依据