首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

公司被小黑入侵盗窃提现金额累计两万多

  •  
  •   5200 · 241 天前 · 10046 次点击
    这是一个创建于 241 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司有一个项目用的 ThinkPHP 5.0.10 框架,
    差不多在年前被人利用远程执行漏洞写入大刀,
    估计过年期间研究系统的流程,在年后累计提现两万多到十几个支付宝账号。
    这种非法入侵提现是否可以报警立案呢怎样追回被盗刷现金。
    第 1 条附言  ·  241 天前

    这个漏洞可以直接在系统public目录写入小刀,然后导入大刀,进而提权什么的。 这个是被写入的大刀,

    image

    最好的修复方法就是直接升级至最新版的框架了, 但是系统较多地方用到了exp 写法,先只能临时修复一下。

    漏洞1

    2018年12月10日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,攻击者构造特定的恶意请求,可以直接获取服务器权限。受影响的版本包括5.0和5.1版本。当前这个漏洞影响ThinkPHP <=5.0.22版本。

    漏洞1解决方案:

    在think\\App类的module方法的获取控制器的代码后面加上
    
    if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
        throw new HttpException(404, 'controller not exists:' . $controller);
    }
    

    漏洞2

    漏洞描述

    由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。

    影响版本

    ThinkPHP 5.0系列 < 5.0.24

    漏洞2解决方案:

    修复方法1.打开
    \thinkphp\library\think\Request.php
    
    搜索:
    
    public function method($method = false)
    {
        xxxx
    }
    改成:
    
    public function method($method = false)
    {
        if (true === $method) {
            // 获取原始请求类型
            return $this->server('REQUEST_METHOD') ?: 'GET';
        } elseif (!$this->method) {
            if (isset($_POST[Config::get('var_method')])) {
                $method = strtoupper($_POST[Config::get('var_method')]);
                if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {
                    $this->method = $method;
                    $this->{$this->method}($_POST);
                } else {
                    $this->method = 'POST';
                }
                unset($_POST[Config::get('var_method')]);
            } elseif (isset($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE'])) {
                $this->method = strtoupper($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE']);
            } else {
                $this->method = $this->server('REQUEST_METHOD') ?: 'GET';
            }
        }
        return $this->method;
    }
    
    82 回复  |  直到 2019-02-16 20:10:53 +08:00
        1
    CloudMx   241 天前
    报警,立案。
        2
    CallMeReznov   241 天前
    报警并冻结

    这几年对这块打击很严,可能会被当成重点案件追查!
        3
    datou   241 天前
    提到阿里呸....

    弱智么?
        4
    kokutou   241 天前 via Android
    报警啊,这种案件算业绩的吧,应该还不小,肯定抢着办案。
        5
    oneonesv   241 天前
    提到支付宝怕不是傻子,查起来太容易
        6
    mytsing520   241 天前
    报警就行了
        7
    R18   241 天前
    可以以“盗窃罪”立案。金额较大。
    我们年前被人提了 2500 金额不大不小的,很是难办。
        8
    LuffyGu   241 天前
    你们的项目是什么类型的?
        9
    4pmBaoZi   241 天前
    必须报警。但是我感觉很难追回,十几个支付宝账户,感觉是盗用他人的身份资料注册,大概率是团队的作案,网络犯罪团伙抓起来还是比较困难的
        10
    yongxa   241 天前
    大概是按照入侵计算机系统起诉,网警搞这种很快的.
        11
    zarte   241 天前
    顺便发下漏洞是啥和解决方法把。
        12
    closedevice   241 天前
    @4pmBaoZi 立案后侦查很快的,只有提到支付包的,整个交易流程都门清
        13
    luosuosile   241 天前
    支付宝。。
    这个贼真的能称之为黑吗?
    是你们公司那方面防御太弱了吧
        14
    cojing   241 天前
    ThinkPHP 5 RCE 吧,去年能刷出一大批,应该是小团伙或个人,直接报警
        15
    gam2046   241 天前
    以盗窃罪论处,目前来看,盗窃 2 万块钱,金额并不算很大。所以结果取决于警察叔叔是否具有主观能动性,只要他们想找,分分钟的事情。

    至于钱能不能找回来随缘,只要没有被支付宝的风控拦截下来,一旦取现,找到人,钱也回不来。

    最后,依然建议报警。
        16
    5200   241 天前
    @luosuosile 以前外包写的系统就一直没管,后面查询了下,thinkPHP 框架有这个远程执行漏洞,只要不是最新的框架都能轻松入侵。
        17
    zjsxwc   241 天前
        18
    16t   241 天前
    转到支付宝就好查了,直接报警,支付宝提供实名信息就可以了。
        19
    realpg   241 天前
    thinkphp 日常操作
        20
    realpg   241 天前
    @oneonesv #5
    要不你给我一个你支付宝我转点钱出去,我都明确告诉你就是我干的了,你报个警试试能查到我不?
        21
    M4ster   241 天前
    对方敢这么肆无忌惮,项目合法吗?
        22
    cyclone   241 天前
    一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字
        23
    1nclude   240 天前
    TP 最近爆了好几个 RCE 漏洞,个人感觉还会有的,多关注一下然后及时补上吧
        24
    mmxd   240 天前
    不懂就问,小刀、大刀啥意思,还有小马、大马?
        25
    x86   240 天前
    年前还帮朋友拿了几个 p2p 的站
        26
    ymj123   240 天前 via iPhone
    @M4ster 你说起这个 我突然想起 健身房认识一老哥 他说他哥搭了个擦边球赌博网站 流水还挺大的 后面被别人黑了 访问不了 然后黑客跟他们说盈利分一成就不搞他们 他们也就答应了 然后黑客躺着赚钱 不知道真的假的
        27
    illl   240 天前 via iPhone
    我觉得支付宝应该会管这样的事吧
        28
    chalgon   240 天前
    直接报警!
        29
    frylkrttj   240 天前
    @chalgon 怕警察叔叔还要来 V2EX 招聘个程序员
        30
    5200   240 天前
    @mmxd 对这个工具没怎么了解,好像使用大刀工具植入小马,菜刀大刀什么的名字什么搞混了,抱歉
        31
    davie   240 天前 via Android
    报警 找阿里
        32
    5200   240 天前 via Android
    @LuffyGu
    @M4ster
    正规商场项目,估计入侵者也是个新手。
        33
    5200   240 天前 via Android
    @1nclude
    公司就这两个项目外包写的用的是 PHP 框架,其他都是 Java 的,也没怎么关注这方面漏洞。去哪里能及时了解到这些漏洞呢?
        34
    TheWalkingDead   240 天前
    稍微有点经验的作案者你都找不到滴。
    身份证,银行卡全部都可以是别人的,怎么找。
        35
    5200   240 天前 via Android
    @TheWalkingDead 所以这个用户应该比较笨,用的支付宝都是某市的,而且是活人在用的支付宝账号,提现的 IP 地址也就那几个固定的。
        36
    gangsta   240 天前
    希望 LZ 及时可以把进展 append 到帖子下面
        37
    yzkcy   240 天前
    这种报警很容易就抓住了。
        38
    a1342751882   240 天前 via Android
    @R18 是被并发提现恶意提现得吗?
        39
    chinvo   240 天前
    @realpg #19 任何一个框架都不能完全杜绝安全隐患,TP 项目组也在第一时间修复了漏洞并且发了公告,开发者自己不更新,和关掉 Windows Update 中了 WannaCry 然后控告微软有啥区别?
        40
    R18   240 天前
    @a1342751882 是的,只做了事务没做锁。
        41
    JCZ2MkKb5S8ZX9pq   240 天前
    5000 以下好像很难啊,以前朋友被骗钱问过支付宝,骗子就要了 4500。
    这 2w 分十几个账号,每个账号钱应该都不多,感觉对方还是有点经验的。
        42
    dko   240 天前
    诈骗罪、非法破坏计算机信息系统罪
    去当地网安报警就好了
        43
    DAMNYOU   240 天前
    @oneonesv 又不是自己的实名账户,现在能干这行的,支付宝都是用买来的身份证和银行卡,而且人家也不需要提现出来,完全可以直接在网上消费掉,并且消费也不需要给自己,可以买各种资源,在其他第三方平台变现,除非动用大量的网警资源去排查,否则根本不会有结果,安心认亏

    至于 lz 所说的 这人是个新手,我不好判断,但是我觉得 lz 如果能给个后续,我相信大概率就是追不回来的。
        44
    Geniusssssss   240 天前
    @datou 多个支付宝账号。。 黑产有买卖支付宝账号的 说白了 不是自己的支付宝 转手买个话费充值卡再转手充值其他平台再转手提现来回几次 到哪抓去 有多个支付宝已经证明有黑产渠道 洗白是非常容易地
        45
    Geniusssssss   240 天前
    反正楼主别想了 凉了 能做这个会用自己有关联的账号的几乎为 0 说别人新手 这种带脑子的怎么可能新手
        46
    yourimage   240 天前
    报警,支付宝沟通
        47
    tadtung   240 天前 via Android
    @5200 直接报警就行。准备好证据。
    你能肯定他体现的支付宝账号都是他自己的?做黑产的哪个手里没有几十个账户和四件套。
    不过你说了他的 ip 固定,那可能真是新手了。
    这种事情早报警,不然没的查。
        48
    leonidas   240 天前
    表示报警一点用都没有 我朋友公司网站也被黑了 报警到现在一两年了 其中询问过几次有没处理进展 结果一点消息都没有
        49
    nfroot   240 天前
    @leonidas 只是黑一下网站线索太少。像楼主这种盗取金钱的,提现必然经过一系列操作才能达成,这里会与最终得益者慢慢关联起来。。。。
        50
    kely   240 天前
    我司在用 ThinkPHP 3.2.3 不知道有没有这个漏洞
        51
    5200   240 天前
    @kely ThinkPHP 3.2.3 这个漏洞就更多了,建议提早修复。。。
        52
    idcspy   240 天前
    先自己社工一下再拿详细一点的信息报案。
        53
    doodle77   240 天前
    报警呗
        54
    5200   240 天前
    @idcspy
    有没有推荐的库呢?
    @doodle77
    先自己多掌握一点证据再提交报警。
        55
    log4geek   240 天前
    虽然支付宝有实名,但是他有十几个支付宝,很明显这堆名字不是盗窃者的。额度这么小的盗窃,实话说,警察未必会真的帮你去抓人。最多就给你个报案回执。。不要想太多了,只能认了。追回损失概率基本为 0.
        56
    jeffson   240 天前
    楼主发后续啊
        57
    opengps   240 天前
    必须报警立案侦查,虽然追不追的回是另一个问题,但是你只有报警了才有追回的可能
        58
    datou   240 天前
    @Geniusssssss 连坐就行了,阿里不是天天说打击黑产么?
        59
    yingfengi   240 天前 via Android
    提现到支付宝,一查一个准
        60
    opengps   240 天前
    @yingfengi 未必,假支付宝资料这种东西,怕的是直接用来消费
        61
    AngryPanda   240 天前
    都说提现到支付宝,容易破案。其实不然。这些全都是买来的账号。
        62
    chinvo   240 天前 via iPhone
    另外看了一下,你这是把项目根目录当 web 根目录了,那么你要小心 cache 目录“可执行任意代码漏洞”,解决方案是把 web root 设为 public 目录
        63
    5200   240 天前
    @chinvo 没有的,是用 public 当根目录,google 搜索了一下解决方案,有的漏洞基本都堵上了。
    @jeffson 还在排查系统一些小号,发现金额已经到三万多了,现在在查封异常的用户。

    准备接下来从支付宝账号查询,发现有些支付宝账号并不是小号,
    而是真人在用的支付宝账号,有几个支付宝账号还是砖石会员和黄金会员。
    通过这些支付宝账号查询到,有部分用户都注册了微信账号,还是老会员,
    猜想肯定一开始这个入侵者使用自己的账号或者朋友的账号,
    后面尝到甜头了,就开始大规模的去找寻支付宝账号来提现。
        64
    c4tn   240 天前
    系统关机镜像备份,然后提取入侵证据和修改证据。
    一般漏洞利用 和最后修改 为了保护可能存在识别特征。 踩点节点可能没有保护。
        65
    Asugar   240 天前 via iPhone
    问一下,没做等保,去报警会不会自己也会被处罚
        66
    tnter   240 天前
    @ymj123 这种事是真的,相当于收保护费
        67
    dnsaq   240 天前 via iPhone
    用这个框架的都不关心官方更新, 还等着黑客来背锅???活该不解释
        68
    mmdsun   240 天前 via Android
    @mmxd 22 楼。“一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字”
        69
    hv3s1   240 天前
    可以去 google 去搜 某些大马中的关键字,有很多直接可以访问 webshell
        70
    runningman   240 天前 via iPhone
    还是抓紧修复吧 技不如人也没办法 被人搞走的更多 安心搞好安全吧
        71
    rekulas   240 天前   ♥ 1
    https://github.com/del-xiong/screw-plus
    额 如果担心源码有漏洞 可以考虑下这个框架 可以阻止非法代码执行
        72
    5200   240 天前
    @dnsaq
    兄 Dei 为何你的回复都好大的戾气,
    你那么多项目,对着一个外包做的项目,每天都去关注他们的官网嘛。
    你家房子,哪天被小偷撬了偷光家里东西怪自己没升级门锁活该咯?


    @runningman
    以前没用过 PHP 开发,不清楚这块东西的漏洞。现在是都修复了,后面考虑这块逻辑放其他项目里面了。
        73
    runningman   240 天前
    @5200 可以加微信聊聊 270115861
        74
    mdf3192078   240 天前
    报警吧,就看你运气如何了。
        75
    thuai   240 天前
    php 是最好的语言
        76
    jadeity   240 天前
    为什么这么多人报警都很犹豫呢?就算追不回来,案子在那立着,破案率的分母是会增加的,到一定程度就会严抓严打,对社会也是好事啊。
        77
    shenfeiyu   240 天前
    为了正义吗,也要报警呀!
    钱看起来应该追不回来了吧!
        78
    blurh11E27   240 天前
    我的 TP5 网站 被挂马了 清理了几次 还是 没清理干净 楼主用的什么工具 扫描这些 东西呢
        79
    CareiOS   240 天前
    我们的也被提现了 2K 多,发现的早。
        80
    w0nglend   239 天前
    web 目录不可写;可写目录不执行 PHP ;并且给 PHP 运行用户加上 iptables 策略?反正我们是这么对抗的
        81
    hahalo   239 天前
    @CareiOS 报警追回来了吗
        82
    RealGM   239 天前
    支付宝和银行卡现在都是实名制 应该可以追回 要立刻报案以免受到更大损失!
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4480 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 03:10 · PVG 11:10 · LAX 20:10 · JFK 23:10
    ♥ Do have faith in what you're doing.