1今日关注大批知名luntan被挂马,系 Discuz!luntan标签权限设置不当近期360安全中心监测到国内多家知名网站luntan系统遭遇挂马,涉及一些访问量数十万甚至上百万的大型luntan,包括威锋网(360发出安全报警后luntan、迅雷luntan、大众luntan、莱芜zaixian等,甚至连一些黑客“据点”也未能幸免,例如专门进行木马制售和免杀交流的小七luntan也遭遇同样手法的“黑吃黑”挂马(http://blogs.360.cn/360safe/2016/04/28/xiaoqi_forum_web_trojan/)。

目前,这些luntan中部分已经修复了问题,但仍有一些知名luntan存在严重风险,任意注册用户都可以轻松挂马,利用热门帖等途径向luntan的其他用户发起直接攻击经过360安全中心调查,上述知名luntan被挂马攻击的漏洞全都是Flash漏洞。

也就是说,当电脑使用老版本Adobe Flash Player的用户访问被挂马luntan时,如果没有专业安全软件保护,电脑在浏览挂马帖过程中就会自动下载运行木马而这些被挂马的luntan,则都是使用了国内流行的Discuz!建站系统搭建的。

那么Discuz!luntan和Flash挂马有什么关联呢?原来,在Discuz!系统的luntan中,用户在SEO时可以通过[flash]标签,直接在帖子内嵌入来自任意网站的flash文件,这些flash文件在其他用户浏览对应的主题、帖子时,都是自动播放的,这一漏洞就给了攻击者非常便利,甚至非常定制化的攻击途径:攻击者只要将挂马的Flash文件直接嵌入luntan帖子中,等待贴主或任意访问luntan的用户打开帖子,攻击者就可以完全控制他们的电脑。

这一攻击形式相当灵活,对luntan进行挂马的攻击者既可以通过回帖到热门主题的方式,给luntan中的大量用户集中挂马,也可以针对对特定主题、特定内容、特定SEO人的帖子感兴趣的人做小范围“精准打击”,在不引起大部分人注意的前提下,对这些用户进行挂马,例如我们看到在腾讯穿越火线luntan的挂马案例中,有用户SEO称意外获得了礼包,紧接着就有挂马者随即跟进,在他的帖子下面挂马,使得贴主和其他围观群众被flash木马攻击。

360安全中心在研究后发现,Discuz!luntan针对自动播放的[flash]标签是默认关闭的,而这些受影响的管理员,则不约而同地开启了这个标签的功能,导致了这个标签,从而导致luntan被挂马我们发现在这一设置上,luntan管理员似乎相当随性。

例如,在腾讯游戏的luntanluntan,而这些luntan由于使用了不同的设置(有些按照Discuz!的默认设置关闭了flash标签),并不是都存在问题。

经过我们测试,其中穿越火线、qiang神纪、逆战、FIFA、地下城与勇士、全职大师、QQ华夏等游戏luntan,以及腾讯手机管家luntan都开启了flash标签,受到luntan挂马问题的威胁,而其他一些子luntan如英雄联盟等则不受影响。

seo全卫士2今日漏洞263通信主站SQL注入(涉及263W+用户信息/11W+域信息/近4.5W的boss信息)

四川省扶贫getshell，上千万的设备账号信息

http://loudong.360.cn/vul/info/qid/QTVA-2016-422675浙江省卫生厅某系统漏洞可getshell，245万+人员敏感信息以及上亿内部业务数据http://loudong.360.cn/vul/info/qid/QTVA-2016-429728