近期，360互联网安全中心得到了多位站长的帮助。当通过搜索引擎打开它的网站时，它会跳转到在线赌博页面。经分析，该网站使用的代码被恶意篡改。进一步分析发现，很多网站被利用是因为使用的CMS中的旧版本-File-存在任意文件上传漏洞（CVE-2018-9062)被利用）。恶意代码稍后插入。

-File-是一种广泛使用的文件上传工具，支持多种语言。它包括文件选择、文件拖放、进度条显示和图像预览。 -File- 9.22.0及更早版本网页跳转 php代码，最近发现了一个任意文件上传漏洞（CVE编号：CVE​​-2018-9206网站建设，详见：）。远程攻击者可以利用此漏洞执行代码。

该插件是列表中第二受欢迎的项目（有 7844 个分支，Star 是），仅次于框架。并已集成到数百个其他项目中，例如：CMS、CRM、解决方案、插件、附加组件（其中也有集成）、组件等等。

过程分析

网站上使用的文件插件

此项目中的安全提示()：CVE-2018-9206 漏洞影响 2018 年 10 月之前发布的版本：

文件插件项目页面说明

分析发现，这样一个被挂掉的网站的库文件尾部额外插入了混淆代码。去混淆后的内容为：判断网站的源页面()是否为百度()、谷歌()、雅虎()、必应(bing)、搜狗()、360搜索(so.)、有道()、极客(jike)、360导航()，如果是，会嵌入一段广告代码：//s5[.]cnzz[.]biz/.php;

脚本中插入恶意代码

脚本中的内容

.php如下图所示： 主要功能是：从当前页面（即搜索页面）的父页面跳转到游戏页面：hxxp://www[.]b733[.]xyz :2682 /w.html,

在 zz.biz 中捕获内容

混淆后的广告代码也插入

。去混淆后的广告码功能主要是自动复制一段支付宝密码领取红包网页跳转 php代码，赚取赏金广告。

红包恶意代码

下图是判断移动设备跳转赌博网站相关的JS代码：

确定是否正在被移动设备访问

跳转到赌博页面如图：

恶意代码攻击效果演示动画（双击查看）：

攻击效果演示

结论

该漏洞已被广泛利用小程序开发，攻击者可以利用该漏洞在服务器上上传恶意js文件，甚至是后门程序和web。因此，建议尽快使用-File-插件将CMS站长更新到修复漏洞的新版本，避免对网站或服务器的攻击。<​​/p>

附加部分插入恶意代码的js

91淘课程：

hxxp://///js/-3.0.0.min.js

无忧健康：

hxxp:///gg/.js

论坛：

hxxp:////js/-1.11.2.min.js

星网：

hxxp:///skin/js/.min.js

西安第四医院：

hxxp://///js/-1.7.1.min.js

hxxp://///1506/.html

hxxp://zz.biz/stat.php?id=&=&show=pic