V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
5200
V2EX  ›  程序员

公司被小黑入侵盗窃提现金额累计两万多

  •  
  •   5200 · 2019-02-15 09:44:38 +08:00 · 12387 次点击
    这是一个创建于 2095 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司有一个项目用的 ThinkPHP 5.0.10 框架,
    差不多在年前被人利用远程执行漏洞写入大刀,
    估计过年期间研究系统的流程,在年后累计提现两万多到十几个支付宝账号。
    这种非法入侵提现是否可以报警立案呢怎样追回被盗刷现金。
    第 1 条附言  ·  2019-02-15 10:39:11 +08:00

    这个漏洞可以直接在系统public目录写入小刀,然后导入大刀,进而提权什么的。 这个是被写入的大刀,

    image

    最好的修复方法就是直接升级至最新版的框架了, 但是系统较多地方用到了exp 写法,先只能临时修复一下。

    漏洞1

    2018年12月10日,阿里云云盾应急响应中心监测到ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,攻击者构造特定的恶意请求,可以直接获取服务器权限。受影响的版本包括5.0和5.1版本。当前这个漏洞影响ThinkPHP <=5.0.22版本。

    漏洞1解决方案:

    在think\\App类的module方法的获取控制器的代码后面加上
    
    if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
        throw new HttpException(404, 'controller not exists:' . $controller);
    }
    

    漏洞2

    漏洞描述

    由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。

    影响版本

    ThinkPHP 5.0系列 < 5.0.24

    漏洞2解决方案:

    修复方法1.打开
    \thinkphp\library\think\Request.php
    
    搜索:
    
    public function method($method = false)
    {
        xxxx
    }
    改成:
    
    public function method($method = false)
    {
        if (true === $method) {
            // 获取原始请求类型
            return $this->server('REQUEST_METHOD') ?: 'GET';
        } elseif (!$this->method) {
            if (isset($_POST[Config::get('var_method')])) {
                $method = strtoupper($_POST[Config::get('var_method')]);
                if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {
                    $this->method = $method;
                    $this->{$this->method}($_POST);
                } else {
                    $this->method = 'POST';
                }
                unset($_POST[Config::get('var_method')]);
            } elseif (isset($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE'])) {
                $this->method = strtoupper($_SERVER['HTTP_X_HTTP_METHOD_OVERRIDE']);
            } else {
                $this->method = $this->server('REQUEST_METHOD') ?: 'GET';
            }
        }
        return $this->method;
    }
    
    82 条回复    2019-02-16 20:10:53 +08:00
    CloudMx
        1
    CloudMx  
       2019-02-15 09:51:39 +08:00
    报警,立案。
    CallMeReznov
        2
    CallMeReznov  
       2019-02-15 09:51:53 +08:00
    报警并冻结

    这几年对这块打击很严,可能会被当成重点案件追查!
    datou
        3
    datou  
       2019-02-15 09:54:20 +08:00
    提到阿里呸....

    弱智么?
    kokutou
        4
    kokutou  
       2019-02-15 09:54:48 +08:00 via Android
    报警啊,这种案件算业绩的吧,应该还不小,肯定抢着办案。
    oneonesv
        5
    oneonesv  
       2019-02-15 09:55:23 +08:00
    提到支付宝怕不是傻子,查起来太容易
    mytsing520
        6
    mytsing520  
       2019-02-15 09:55:30 +08:00
    报警就行了
    R18
        7
    R18  
       2019-02-15 09:55:36 +08:00
    可以以“盗窃罪”立案。金额较大。
    我们年前被人提了 2500 金额不大不小的,很是难办。
    LuffyGu
        8
    LuffyGu  
       2019-02-15 09:57:57 +08:00
    你们的项目是什么类型的?
    4pmBaoZi
        9
    4pmBaoZi  
       2019-02-15 10:04:04 +08:00
    必须报警。但是我感觉很难追回,十几个支付宝账户,感觉是盗用他人的身份资料注册,大概率是团队的作案,网络犯罪团伙抓起来还是比较困难的
    yongxa
        10
    yongxa  
       2019-02-15 10:06:09 +08:00
    大概是按照入侵计算机系统起诉,网警搞这种很快的.
    zarte
        11
    zarte  
       2019-02-15 10:09:30 +08:00
    顺便发下漏洞是啥和解决方法把。
    closedevice
        12
    closedevice  
       2019-02-15 10:20:32 +08:00
    @4pmBaoZi 立案后侦查很快的,只有提到支付包的,整个交易流程都门清
    luosuosile
        13
    luosuosile  
       2019-02-15 10:22:47 +08:00
    支付宝。。
    这个贼真的能称之为黑吗?
    是你们公司那方面防御太弱了吧
    cojing
        14
    cojing  
       2019-02-15 10:26:37 +08:00
    ThinkPHP 5 RCE 吧,去年能刷出一大批,应该是小团伙或个人,直接报警
    gam2046
        15
    gam2046  
       2019-02-15 10:26:49 +08:00
    以盗窃罪论处,目前来看,盗窃 2 万块钱,金额并不算很大。所以结果取决于警察叔叔是否具有主观能动性,只要他们想找,分分钟的事情。

    至于钱能不能找回来随缘,只要没有被支付宝的风控拦截下来,一旦取现,找到人,钱也回不来。

    最后,依然建议报警。
    5200
        16
    5200  
    OP
       2019-02-15 10:27:32 +08:00
    @luosuosile 以前外包写的系统就一直没管,后面查询了下,thinkPHP 框架有这个远程执行漏洞,只要不是最新的框架都能轻松入侵。
    zjsxwc
        17
    zjsxwc  
       2019-02-15 10:27:44 +08:00
    16t
        18
    16t  
       2019-02-15 10:30:23 +08:00
    转到支付宝就好查了,直接报警,支付宝提供实名信息就可以了。
    realpg
        19
    realpg  
       2019-02-15 10:31:38 +08:00
    thinkphp 日常操作
    realpg
        20
    realpg  
       2019-02-15 10:32:31 +08:00
    @oneonesv #5
    要不你给我一个你支付宝我转点钱出去,我都明确告诉你就是我干的了,你报个警试试能查到我不?
    M4ster
        21
    M4ster  
       2019-02-15 10:51:16 +08:00
    对方敢这么肆无忌惮,项目合法吗?
    cyclone
        22
    cyclone  
       2019-02-15 11:03:59 +08:00
    一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字
    1nclude
        23
    1nclude  
       2019-02-15 11:12:41 +08:00
    TP 最近爆了好几个 RCE 漏洞,个人感觉还会有的,多关注一下然后及时补上吧
    mmxd
        24
    mmxd  
       2019-02-15 11:28:52 +08:00
    不懂就问,小刀、大刀啥意思,还有小马、大马?
    x86
        25
    x86  
       2019-02-15 11:35:41 +08:00
    年前还帮朋友拿了几个 p2p 的站
    ymj123
        26
    ymj123  
       2019-02-15 11:40:21 +08:00 via iPhone
    @M4ster 你说起这个 我突然想起 健身房认识一老哥 他说他哥搭了个擦边球赌博网站 流水还挺大的 后面被别人黑了 访问不了 然后黑客跟他们说盈利分一成就不搞他们 他们也就答应了 然后黑客躺着赚钱 不知道真的假的
    illl
        27
    illl  
       2019-02-15 11:42:28 +08:00 via iPhone
    我觉得支付宝应该会管这样的事吧
    chalgon
        28
    chalgon  
       2019-02-15 11:44:00 +08:00
    直接报警!
    frylkrttj
        29
    frylkrttj  
       2019-02-15 11:59:50 +08:00
    @chalgon 怕警察叔叔还要来 V2EX 招聘个程序员
    5200
        30
    5200  
    OP
       2019-02-15 12:08:28 +08:00
    @mmxd 对这个工具没怎么了解,好像使用大刀工具植入小马,菜刀大刀什么的名字什么搞混了,抱歉
    davie
        31
    davie  
       2019-02-15 12:20:25 +08:00 via Android
    报警 找阿里
    5200
        32
    5200  
    OP
       2019-02-15 12:27:27 +08:00 via Android
    @LuffyGu
    @M4ster
    正规商场项目,估计入侵者也是个新手。
    5200
        33
    5200  
    OP
       2019-02-15 12:30:38 +08:00 via Android
    @1nclude
    公司就这两个项目外包写的用的是 PHP 框架,其他都是 Java 的,也没怎么关注这方面漏洞。去哪里能及时了解到这些漏洞呢?
    TheWalkingDead
        34
    TheWalkingDead  
       2019-02-15 12:36:14 +08:00
    稍微有点经验的作案者你都找不到滴。
    身份证,银行卡全部都可以是别人的,怎么找。
    5200
        35
    5200  
    OP
       2019-02-15 12:52:51 +08:00 via Android
    @TheWalkingDead 所以这个用户应该比较笨,用的支付宝都是某市的,而且是活人在用的支付宝账号,提现的 IP 地址也就那几个固定的。
    gangsta
        36
    gangsta  
       2019-02-15 13:00:39 +08:00
    希望 LZ 及时可以把进展 append 到帖子下面
    yzkcy
        37
    yzkcy  
       2019-02-15 13:03:42 +08:00
    这种报警很容易就抓住了。
    a1342751882
        38
    a1342751882  
       2019-02-15 13:03:47 +08:00 via Android
    @R18 是被并发提现恶意提现得吗?
    chinvo
        39
    chinvo  
       2019-02-15 13:06:31 +08:00
    @realpg #19 任何一个框架都不能完全杜绝安全隐患,TP 项目组也在第一时间修复了漏洞并且发了公告,开发者自己不更新,和关掉 Windows Update 中了 WannaCry 然后控告微软有啥区别?
    R18
        40
    R18  
       2019-02-15 13:06:39 +08:00
    @a1342751882 是的,只做了事务没做锁。
    JCZ2MkKb5S8ZX9pq
        41
    JCZ2MkKb5S8ZX9pq  
       2019-02-15 13:11:29 +08:00
    5000 以下好像很难啊,以前朋友被骗钱问过支付宝,骗子就要了 4500。
    这 2w 分十几个账号,每个账号钱应该都不多,感觉对方还是有点经验的。
    dko
        42
    dko  
       2019-02-15 13:14:40 +08:00
    诈骗罪、非法破坏计算机信息系统罪
    去当地网安报警就好了
    DAMNYOU
        43
    DAMNYOU  
       2019-02-15 13:22:15 +08:00
    @oneonesv 又不是自己的实名账户,现在能干这行的,支付宝都是用买来的身份证和银行卡,而且人家也不需要提现出来,完全可以直接在网上消费掉,并且消费也不需要给自己,可以买各种资源,在其他第三方平台变现,除非动用大量的网警资源去排查,否则根本不会有结果,安心认亏

    至于 lz 所说的 这人是个新手,我不好判断,但是我觉得 lz 如果能给个后续,我相信大概率就是追不回来的。
    Geniusssssss
        44
    Geniusssssss  
       2019-02-15 13:26:26 +08:00
    @datou 多个支付宝账号。。 黑产有买卖支付宝账号的 说白了 不是自己的支付宝 转手买个话费充值卡再转手充值其他平台再转手提现来回几次 到哪抓去 有多个支付宝已经证明有黑产渠道 洗白是非常容易地
    Geniusssssss
        45
    Geniusssssss  
       2019-02-15 13:31:23 +08:00
    反正楼主别想了 凉了 能做这个会用自己有关联的账号的几乎为 0 说别人新手 这种带脑子的怎么可能新手
    yourimage
        46
    yourimage  
       2019-02-15 14:10:38 +08:00
    报警,支付宝沟通
    tadtung
        47
    tadtung  
       2019-02-15 14:20:50 +08:00 via Android
    @5200 直接报警就行。准备好证据。
    你能肯定他体现的支付宝账号都是他自己的?做黑产的哪个手里没有几十个账户和四件套。
    不过你说了他的 ip 固定,那可能真是新手了。
    这种事情早报警,不然没的查。
    leonidas
        48
    leonidas  
       2019-02-15 14:27:30 +08:00
    表示报警一点用都没有 我朋友公司网站也被黑了 报警到现在一两年了 其中询问过几次有没处理进展 结果一点消息都没有
    nfroot
        49
    nfroot  
       2019-02-15 14:53:25 +08:00
    @leonidas 只是黑一下网站线索太少。像楼主这种盗取金钱的,提现必然经过一系列操作才能达成,这里会与最终得益者慢慢关联起来。。。。
    kely
        50
    kely  
       2019-02-15 15:10:12 +08:00
    我司在用 ThinkPHP 3.2.3 不知道有没有这个漏洞
    5200
        51
    5200  
    OP
       2019-02-15 15:26:47 +08:00
    @kely ThinkPHP 3.2.3 这个漏洞就更多了,建议提早修复。。。
    idcspy
        52
    idcspy  
       2019-02-15 15:29:25 +08:00
    先自己社工一下再拿详细一点的信息报案。
    doodle77
        53
    doodle77  
       2019-02-15 16:01:57 +08:00
    报警呗
    5200
        54
    5200  
    OP
       2019-02-15 16:11:59 +08:00
    @idcspy
    有没有推荐的库呢?
    @doodle77
    先自己多掌握一点证据再提交报警。
    log4geek
        55
    log4geek  
       2019-02-15 16:25:40 +08:00
    虽然支付宝有实名,但是他有十几个支付宝,很明显这堆名字不是盗窃者的。额度这么小的盗窃,实话说,警察未必会真的帮你去抓人。最多就给你个报案回执。。不要想太多了,只能认了。追回损失概率基本为 0.
    jeffson
        56
    jeffson  
       2019-02-15 17:17:54 +08:00
    楼主发后续啊
    opengps
        57
    opengps  
       2019-02-15 17:21:25 +08:00
    必须报警立案侦查,虽然追不追的回是另一个问题,但是你只有报警了才有追回的可能
    datou
        58
    datou  
       2019-02-15 17:27:10 +08:00
    @Geniusssssss 连坐就行了,阿里不是天天说打击黑产么?
    yingfengi
        59
    yingfengi  
       2019-02-15 17:31:11 +08:00 via Android
    提现到支付宝,一查一个准
    opengps
        60
    opengps  
       2019-02-15 17:33:05 +08:00
    @yingfengi 未必,假支付宝资料这种东西,怕的是直接用来消费
    AngryPanda
        61
    AngryPanda  
       2019-02-15 17:36:53 +08:00
    都说提现到支付宝,容易破案。其实不然。这些全都是买来的账号。
    chinvo
        62
    chinvo  
       2019-02-15 17:38:53 +08:00 via iPhone
    另外看了一下,你这是把项目根目录当 web 根目录了,那么你要小心 cache 目录“可执行任意代码漏洞”,解决方案是把 web root 设为 public 目录
    5200
        63
    5200  
    OP
       2019-02-15 17:51:47 +08:00
    @chinvo 没有的,是用 public 当根目录,google 搜索了一下解决方案,有的漏洞基本都堵上了。
    @jeffson 还在排查系统一些小号,发现金额已经到三万多了,现在在查封异常的用户。

    准备接下来从支付宝账号查询,发现有些支付宝账号并不是小号,
    而是真人在用的支付宝账号,有几个支付宝账号还是砖石会员和黄金会员。
    通过这些支付宝账号查询到,有部分用户都注册了微信账号,还是老会员,
    猜想肯定一开始这个入侵者使用自己的账号或者朋友的账号,
    后面尝到甜头了,就开始大规模的去找寻支付宝账号来提现。
    c4tn
        64
    c4tn  
       2019-02-15 18:25:55 +08:00
    系统关机镜像备份,然后提取入侵证据和修改证据。
    一般漏洞利用 和最后修改 为了保护可能存在识别特征。 踩点节点可能没有保护。
    Asugar
        65
    Asugar  
       2019-02-15 18:41:57 +08:00 via iPhone
    问一下,没做等保,去报警会不会自己也会被处罚
    tnter
        66
    tnter  
       2019-02-15 18:47:57 +08:00
    @ymj123 这种事是真的,相当于收保护费
    dnsaq
        67
    dnsaq  
       2019-02-15 19:43:32 +08:00 via iPhone
    用这个框架的都不关心官方更新, 还等着黑客来背锅???活该不解释
    mmdsun
        68
    mmdsun  
       2019-02-15 19:47:28 +08:00 via Android
    @mmxd 22 楼。“一般管 webshell 叫小马、大马,不叫大刀……刀是攻击方连接一句话木马的工具的名字”
    hv3s1
        69
    hv3s1  
       2019-02-15 19:49:48 +08:00
    可以去 google 去搜 某些大马中的关键字,有很多直接可以访问 webshell
    runningman
        70
    runningman  
       2019-02-15 19:52:39 +08:00 via iPhone
    还是抓紧修复吧 技不如人也没办法 被人搞走的更多 安心搞好安全吧
    rekulas
        71
    rekulas  
       2019-02-15 20:10:57 +08:00   ❤️ 1
    https://github.com/del-xiong/screw-plus
    额 如果担心源码有漏洞 可以考虑下这个框架 可以阻止非法代码执行
    5200
        72
    5200  
    OP
       2019-02-15 20:23:40 +08:00
    @dnsaq
    兄 Dei 为何你的回复都好大的戾气,
    你那么多项目,对着一个外包做的项目,每天都去关注他们的官网嘛。
    你家房子,哪天被小偷撬了偷光家里东西怪自己没升级门锁活该咯?


    @runningman
    以前没用过 PHP 开发,不清楚这块东西的漏洞。现在是都修复了,后面考虑这块逻辑放其他项目里面了。
    runningman
        73
    runningman  
       2019-02-15 20:58:49 +08:00
    @5200 可以加微信聊聊 270115861
    mdf3192078
        74
    mdf3192078  
       2019-02-15 21:28:18 +08:00
    报警吧,就看你运气如何了。
    thuai
        75
    thuai  
       2019-02-15 22:35:54 +08:00
    php 是最好的语言
    jadeity
        76
    jadeity  
       2019-02-15 23:01:08 +08:00
    为什么这么多人报警都很犹豫呢?就算追不回来,案子在那立着,破案率的分母是会增加的,到一定程度就会严抓严打,对社会也是好事啊。
    shenfeiyu
        77
    shenfeiyu  
       2019-02-16 09:15:49 +08:00
    为了正义吗,也要报警呀!
    钱看起来应该追不回来了吧!
    blurh11E27
        78
    blurh11E27  
       2019-02-16 10:23:04 +08:00
    我的 TP5 网站 被挂马了 清理了几次 还是 没清理干净 楼主用的什么工具 扫描这些 东西呢
    CareiOS
        79
    CareiOS  
       2019-02-16 10:49:16 +08:00
    我们的也被提现了 2K 多,发现的早。
    w0nglend
        80
    w0nglend  
       2019-02-16 15:20:07 +08:00
    web 目录不可写;可写目录不执行 PHP ;并且给 PHP 运行用户加上 iptables 策略?反正我们是这么对抗的
    hahalo
        81
    hahalo  
       2019-02-16 16:13:17 +08:00
    @CareiOS 报警追回来了吗
    RealGM
        82
    RealGM  
       2019-02-16 20:10:53 +08:00
    支付宝和银行卡现在都是实名制 应该可以追回 要立刻报案以免受到更大损失!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2644 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 03:24 · PVG 11:24 · LAX 19:24 · JFK 22:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.