我们将这次安全处理的办理过程分享出来,也是希望全体支付平台更加的安全。首先对接到客户这面,我们小蚁云安全团队安排了几位从业十年的安全工程师来卖力办理这次聚合支付平台被攻击,修改的安全问题,理解客户支付网站目前发生的症状以及支付存在哪些漏洞,客户说支付平台运营一个月时涌现过这些问题,然后在运营的第二个月陆续涌现几次被攻击修改的情形,客户自己的技能根据网站日志剖析进攻路线排查加以封堵后,后续两个月支付均未被攻击,就在最近的这几天,支付订单被修改,很多未支付的订单竟然被修改为成功支付,并从通道返回成功数据,导致平台丢失较大,随即对于出通道进行了停息,并联系码商停滞支付接口。客户还反响支付链接被挟制,跳转到别人那去了,导致很多支付的订单都被支付到攻击者的账户中去了,丢失切实其实不可言语。
很多商户以及集团利用聚合支付平台,那么丢失的便是商户与支付平台这两家,商户有些时候对小金额的订单并没有详细的检讨,包括支付平台也未对一些小金额的订单仔细的审计,导致攻击者稠浊视线仿照正常的支付过程来修改订单状态达到获取自己利益的目的。支付通道对接,回调下发都是秒级的,支付订单并发太大,险些人工根本察觉不到资金被盗走,客户从通道比拟聚合支付的总账,创造金额不对等,这才意识到网站被黑,被入侵了。
接下来我们开始对客户的网站代码,以及做事器进行全面的人工安全审计,检测网站目前存在的漏洞以及代码后门,客户网站利用的是thinkphp+mysql数据库架构,做事器系统是linux centos利用宝塔面板作为做事器的管理,我们打包压缩了一份完全的聚合支付源代码,包括网站进1个月的访问日志也进行了压缩,下载到我们小蚁安全工程师确当地电脑,通过我们工程师的一系列安全检测与日志的溯源追踪,创造了问题。网站存在木马后门也叫webshell,在文件上传目录里创造的,redmin.php的PHP脚本木马,还有coninc.php数据库管理的木马后门。
这个数据库木马后门的浸染是可以对数据库的表段进行修正,通过检讨日志创造订单支付状态被修正的缘故原由便是通过这个数据库木马后门进行的,对未支付的订单状态进行了数据库的修正,绕过上游通道的回调接口数据返回,直接将状态改为支付成功,并返回到商户那面将充值金额加到了客户网站上,攻击者直接在客户网站上消费并提现,所有的丢失都由支付平台承担了。我们小蚁安全技能紧接着对于出提交功能代码进行安全审计的时候创造存在SQL注入漏洞,可以UPDATE 恶意代码到数据库中实行,导致可以修正数据库的内容,并天生远程代码下载到网站根目录下,天生webshell文件,TP架构本身也存在着远程代码实行漏洞,导致这次网站被攻击被修改的根源就在于此,我们立即对该网站漏洞,也算是TP框架漏洞进行了修复,对网站文件目录做了防修改安全支配,禁止任何PHP文件的天生。
连续安全检测我们创造客户网站的商户以及码商用到的用户上岸功能存在任意登入漏洞,程序员在写代码的过程中未对用户的状态进行判断,导致用户后台被随意登入,攻击者可以上岸后台去确认未支付的订单,直接将订单设为支付成功并返回到商户网站中去,来实现资金的盗取。我们对客户的后台上岸功能进行了修复,对用户的所属权限进行判断,以及数据库密码的效验。至此我们小蚁云安全技能打消了所有支付平台里存在的木马后门文件,包括网站漏洞都进行了全面的修复,对网站进行全面的加固与防御,如果您的聚合支付,或者是支付通道系统涌现被修改,被攻击的问题,建议找专业的网站安全公司来办理处理,海内小蚁网络,绿盟,都是海内比较专业的,也希望我们这次的安全问题处理过程分享,能让支付平台的网络安全更上一层,平台越安全,我们的支付越安全,资金也就越安全。
QQ:3208176248
