这是一个创建于 2435 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司有一个项目用的 ThinkPHP 5.0.10 框架,
差不多在年前被人利用远程执行漏洞写入大刀,
估计过年期间研究系统的流程,在年后累计提现两万多到十几个支付宝账号。
这种非法入侵提现是否可以报警立案呢怎样追回被盗刷现金。
差不多在年前被人利用远程执行漏洞写入大刀,
估计过年期间研究系统的流程,在年后累计提现两万多到十几个支付宝账号。
这种非法入侵提现是否可以报警立案呢怎样追回被盗刷现金。
第 1 条附言 2019-02-15 10:39:11 +08:00
这个漏洞可以直接在系统public目录写入小刀,然后导入大刀,进而提权什么的。 这个是被写入的大刀,
最好的修复方法就是直接升级至最新版的框架了, 但是系统较多地方用到了exp 写法,先只能临时修复一下。
漏洞1
2018年12月10日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,攻击者构造特定的恶意请求,可以直接获取服务器权限。受影响的版本包括5.0和5.1版本。当前这个漏洞影响ThinkPHP <=5.0.22版本。
漏洞1解决方案:
在think\\App类的module方法的获取控制器的代码后面加上 if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) { throw new HttpException(404, 'controller not exists:' . $controller); } 漏洞2
漏洞描述
由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。
影响版本
ThinkPHP 5.0系列 < 5.0.24
漏洞2解决方案:
修复方法1.打开 \thinkphp\library\think\Request.php 搜索: public function method($method = false) { xxxx } 改成: public function method($method = false) { if (true === $method) { // 获取原始请求类型 return $this->server('REQUEST_METHOD') ?: 'GET'; } elseif (!$this->method) { if (isset($_POST[Config::get('var_method')])) { $method = strtoupper($_POST[Config::get('var_method')]); if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) { $this->method = $method; $this->{$this->method}($_POST); } else { $this->method = 'POST'; } unset($_POST[Config::get('var_method')]); } elseif (isset($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE'])) { $this->method = strtoupper($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE']); } else { $this->method = $this->server('REQUEST_METHOD') ?: 'GET'; } } return $this->method; }  | 1 CloudMx 2019-02-15 09:51:39 +08:00 报警,立案。 |
 | 2 CallMeReznov 2019-02-15 09:51:53 +08:00 报警并冻结 这几年对这块打击很严,可能会被当成重点案件追查! |
 | 3 datou 2019-02-15 09:54:20 +08:00 提到阿里呸.... 弱智么? |
 | 4 kokutou 2019-02-15 09:54:48 +08:00 via Android 报警啊,这种案件算业绩的吧,应该还不小,肯定抢着办案。 |
 | 5 oneonesv 2019-02-15 09:55:23 +08:00 提到支付宝怕不是傻子,查起来太容易 |
 | 6 mytsing520 PRO 报警就行了 |
 | 7 R18 2019-02-15 09:55:36 +08:00 可以以“盗窃罪”立案。金额较大。 我们年前被人提了 2500 金额不大不小的,很是难办。 |
 | 8 LuffyGu 2019-02-15 09:57:57 +08:00 你们的项目是什么类型的? |
 | 9 BaoZiDaShen 2019-02-15 10:04:04 +08:00 必须报警。但是我感觉很难追回,十几个支付宝账户,感觉是盗用他人的身份资料注册,大概率是团队的作案,网络犯罪团伙抓起来还是比较困难的 |
 | 10 Amcrow 2019-02-15 10:06:09 +08:00 大概是按照入侵计算机系统起诉,网警搞这种很快的. |
 | 11 zarte 2019-02-15 10:09:30 +08:00 顺便发下漏洞是啥和解决方法把。 |
 | 12 closedevice 2019-02-15 10:20:32 +08:00 @4pmBaoZi 立案后侦查很快的,只有提到支付包的,整个交易流程都门清 |
 | 13 luosuosile 2019-02-15 10:22:47 +08:00 支付宝。。 这个贼真的能称之为黑吗? 是你们公司那方面防御太弱了吧 |
 | 14 cojing 2019-02-15 10:26:37 +08:00 ThinkPHP 5 RCE 吧,去年能刷出一大批,应该是小团伙或个人,直接报警 |
 | 15 gam2046 2019-02-15 10:26:49 +08:00 以盗窃罪论处,目前来看,盗窃 2 万块钱,金额并不算很大。所以结果取决于警察叔叔是否具有主观能动性,只要他们想找,分分钟的事情。 至于钱能不能找回来随缘,只要没有被支付宝的风控拦截下来,一旦取现,找到人,钱也回不来。 最后,依然建议报警。 |
 | 16 5200 OP @luosuosile 以前外包写的系统就一直没管,后面查询了下,thinkPHP 框架有这个远程执行漏洞,只要不是最新的框架都能轻松入侵。 |
 | 18 16t 2019-02-15 10:30:23 +08:00 转到支付宝就好查了,直接报警,支付宝提供实名信息就可以了。 |
 | 19 realpg PRO thinkphp 日常操作 |
 | 21 M4ster 2019-02-15 10:51:16 +08:00 对方敢这么肆无忌惮,项目合法吗? |
 | 22 cyclone 2019-02-15 11:03:59 +08:00 一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字 |
 | 23 1nclude 2019-02-15 11:12:41 +08:00 TP 最近爆了好几个 RCE 漏洞,个人感觉还会有的,多关注一下然后及时补上吧 |
 | 24 mmxd 2019-02-15 11:28:52 +08:00 不懂就问,小刀、大刀啥意思,还有小马、大马? |
 | 25 x86 2019-02-15 11:35:41 +08:00 年前还帮朋友拿了几个 p2p 的站 |
 | 26 ymj123 2019-02-15 11:40:21 +08:00 via iPhone @M4ster 你说起这个 我突然想起 健身房认识一老哥 他说他哥搭了个擦边球赌博网站 流水还挺大的 后面被别人黑了 访问不了 然后黑客跟他们说盈利分一成就不搞他们 他们也就答应了 然后黑客躺着赚钱 不知道真的假的 |
 | 27 illl 2019-02-15 11:42:28 +08:00 via iPhone 我觉得支付宝应该会管这样的事吧 |
 | 28 chalgon 2019-02-15 11:44:00 +08:00 直接报警! |
 | 31 davie 2019-02-15 12:20:25 +08:00 via Android 报警 找阿里 |
| 33 5200 OP @1nclude 公司就这两个项目外包写的用的是 PHP 框架,其他都是 Java 的,也没怎么关注这方面漏洞。去哪里能及时了解到这些漏洞呢? |
 | 34 TheWalkingDead 2019-02-15 12:36:14 +08:00 稍微有点经验的作案者你都找不到滴。 身份证,银行卡全部都可以是别人的,怎么找。 |
| 35 5200 OP @TheWalkingDead 所以这个用户应该比较笨,用的支付宝都是某市的,而且是活人在用的支付宝账号,提现的 IP 地址也就那几个固定的。 |
 | 36 gangsta 2019-02-15 13:00:39 +08:00 希望 LZ 及时可以把进展 append 到帖子下面 |
 | 37 lorryo 2019-02-15 13:03:42 +08:00 这种报警很容易就抓住了。 |
 | 38 a1342751882 2019-02-15 13:03:47 +08:00 via Android @R18 是被并发提现恶意提现得吗? |
 | 39 chinvo 2019-02-15 13:06:31 +08:00 @realpg #19 任何一个框架都不能完全杜绝安全隐患,TP 项目组也在第一时间修复了漏洞并且发了公告,开发者自己不更新,和关掉 Windows Update 中了 WannaCry 然后控告微软有啥区别? |
| 40 R18 2019-02-15 13:06:39 +08:00 @a1342751882 是的,只做了事务没做锁。 |
 | 41 JCZ2MkKb5S8ZX9pq 2019-02-15 13:11:29 +08:00 5000 以下好像很难啊,以前朋友被骗钱问过支付宝,骗子就要了 4500。 这 2w 分十几个账号,每个账号钱应该都不多,感觉对方还是有点经验的。 |
 | 42 dko 2019-02-15 13:14:40 +08:00 诈骗罪、非法破坏计算机信息系统罪 去当地网安报警就好了 |
 | 43 DAMNYOU 2019-02-15 13:22:15 +08:00 @oneonesv 又不是自己的实名账户,现在能干这行的,支付宝都是用买来的身份证和银行卡,而且人家也不需要提现出来,完全可以直接在网上消费掉,并且消费也不需要给自己,可以买各种资源,在其他第三方平台变现,除非动用大量的网警资源去排查,否则根本不会有结果,安心认亏 至于 lz 所说的 这人是个新手,我不好判断,但是我觉得 lz 如果能给个后续,我相信大概率就是追不回来的。 |
 | 44 Geniusssssss 2019-02-15 13:26:26 +08:00 @datou 多个支付宝账号。。 黑产有买卖支付宝账号的 说白了 不是自己的支付宝 转手买个话费充值卡再转手充值其他平台再转手提现来回几次 到哪抓去 有多个支付宝已经证明有黑产渠道 洗白是非常容易地 |
| 45 Geniusssssss 2019-02-15 13:31:23 +08:00 反正楼主别想了 凉了 能做这个会用自己有关联的账号的几乎为 0 说别人新手 这种带脑子的怎么可能新手 |
 | 46 yourimage 2019-02-15 14:10:38 +08:00 报警,支付宝沟通 |
 | 47 tadtung 2019-02-15 14:20:50 +08:00 via Android |
 | 48 novaa 2019-02-15 14:27:30 +08:00 表示报警一点用都没有 我朋友公司网站也被黑了 报警到现在一两年了 其中询问过几次有没处理进展 结果一点消息都没有 |
 | 49 nfroot 2019-02-15 14:53:25 +08:00 @leonidas 只是黑一下网站线索太少。像楼主这种盗取金钱的,提现必然经过一系列操作才能达成,这里会与最终得益者慢慢关联起来。。。。 |
 | 50 kely 2019-02-15 15:10:12 +08:00 我司在用 ThinkPHP 3.2.3 不知道有没有这个漏洞 |
 | 52 idcspy 2019-02-15 15:29:25 +08:00 先自己社工一下再拿详细一点的信息报案。 |
 | 53 doodle77 2019-02-15 16:01:57 +08:00 报警呗 |
 | 55 log4geek 2019-02-15 16:25:40 +08:00 虽然支付宝有实名,但是他有十几个支付宝,很明显这堆名字不是盗窃者的。额度这么小的盗窃,实话说,警察未必会真的帮你去抓人。最多就给你个报案回执。。不要想太多了,只能认了。追回损失概率基本为 0. |
 | 56 jeffson 2019-02-15 17:17:54 +08:00 楼主发后续啊 |
 | 57 opengps 2019-02-15 17:21:25 +08:00 必须报警立案侦查,虽然追不追的回是另一个问题,但是你只有报警了才有追回的可能 |
| 58 datou 2019-02-15 17:27:10 +08:00 @Geniusssssss 连坐就行了,阿里不是天天说打击黑产么? |
 | 59 yingfengi 2019-02-15 17:31:11 +08:00 via Android 提现到支付宝,一查一个准 |
 | 61 AngryPanda 2019-02-15 17:36:53 +08:00 都说提现到支付宝,容易破案。其实不然。这些全都是买来的账号。 |
| 62 chinvo 2019-02-15 17:38:53 +08:00 via iPhone 另外看了一下,你这是把项目根目录当 web 根目录了,那么你要小心 cache 目录“可执行任意代码漏洞”,解决方案是把 web root 设为 public 目录 |
| 63 5200 OP |
 | 64 c4tn 2019-02-15 18:25:55 +08:00 系统关机镜像备份,然后提取入侵证据和修改证据。 一般漏洞利用 和最后修改 为了保护可能存在识别特征。 踩点节点可能没有保护。 |
 | 65 Asugar 2019-02-15 18:41:57 +08:00 via iPhone 问一下,没做等保,去报警会不会自己也会被处罚 |
 | 67 dnsaq 2019-02-15 19:43:32 +08:00 via iPhone 用这个框架的都不关心官方更新, 还等着黑客来背锅???活该不解释 |
 | 68 mmdsun 2019-02-15 19:47:28 +08:00 via Android @mmxd 22 楼。“一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字” |
 | 69 hv3s1 2019-02-15 19:49:48 +08:00 可以去 google 去搜 某些大马中的关键字,有很多直接可以访问 webshell |
 | 70 runningman 2019-02-15 19:52:39 +08:00 via iPhone 还是抓紧修复吧 技不如人也没办法 被人搞走的更多 安心搞好安全吧 |
 | 71 rekulas 2019-02-15 20:10:57 +08:00  1 https://github.com/del-xiong/screw-plus 额 如果担心源码有漏洞 可以考虑下这个框架 可以阻止非法代码执行 |
| 72 5200 OP @dnsaq 兄 Dei 为何你的回复都好大的戾气, 你那么多项目,对着一个外包做的项目,每天都去关注他们的官网嘛。 你家房子,哪天被小偷撬了偷光家里东西怪自己没升级门锁活该咯? @runningman 以前没用过 PHP 开发,不清楚这块东西的漏洞。现在是都修复了,后面考虑这块逻辑放其他项目里面了。 |
| 73 runningman 2019-02-15 20:58:49 +08:00 @5200 可以加微信聊聊 270115861 |
 | 74 mdf3192078 2019-02-15 21:28:18 +08:00 报警吧,就看你运气如何了。 |
 | 75 thuai 2019-02-15 22:35:54 +08:00 php 是最好的语言 |
 | 76 jadeity 2019-02-15 23:01:08 +08:00 为什么这么多人报警都很犹豫呢?就算追不回来,案子在那立着,破案率的分母是会增加的,到一定程度就会严抓严打,对社会也是好事啊。 |
 | 77 shenfeiyu 2019-02-16 09:15:49 +08:00 为了正义吗,也要报警呀! 钱看起来应该追不回来了吧! |
 | 78 blurh11E27 2019-02-16 10:23:04 +08:00 我的 TP5 网站 被挂马了 清理了几次 还是 没清理干净 楼主用的什么工具 扫描这些 东西呢 |
 | 79 CareiOS 2019-02-16 10:49:16 +08:00 我们的也被提现了 2K 多,发现的早。 |
 | 80 w0nglend 2019-02-16 15:20:07 +08:00 web 目录不可写;可写目录不执行 PHP ;并且给 PHP 运行用户加上 iptables 策略?反正我们是这么对抗的 |
 | 82 RealGM 2019-02-16 20:10:53 +08:00 支付宝和银行卡现在都是实名制 应该可以追回 要立刻报案以免受到更大损失! |
Select Language