Typecho install. PHP 中有后门

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2583 天前的主题，其中的信息可能已经有所发展或是发生改变。

在安全圈内比较火了，自己之前的博客也是用的这个框架。

相关链接： Install.php 代码分析 Typecho 事件始末各位大佬自查一下？

第 1 条附言 · 2017-10-27 15:26:45 +08:00

官方解释： https://joyqi.com/typecho/about-typecho-20171027.html
应该是误会了，不过漏洞确实存在，请各位按照官方说明进行修复。

61 条回复 • 2017-10-29 09:57:20 +08:00

Sanko

2017-10-27 08:53:58 +08:00 via Android

方了

xiqingongzi

2017-10-27 08:58:30 +08:00

@joyqi

RobertYang

2017-10-27 08:58:50 +08:00 via Android

前排吃瓜，还好没有 typecho 的站

naiba

2017-10-27 09:00:20 +08:00 via Android

。。。 @joyqi

zangbob

2017-10-27 09:00:24 +08:00

@joyqi

iFlicker

2017-10-27 09:00:27 +08:00 via Android

正在用。。。

kn007

2017-10-27 09:03:01 +08:00 via Android

唔，不用 typecho 的路过

Kilerd

2017-10-27 09:05:26 +08:00 via iPhone

正好找个借口换了 typecho

arnofeng

2017-10-27 09:06:15 +08:00

删了 install.php 就行了呗

torbrowserbridge

2017-10-27 09:13:35 +08:00

是此人吗，sf 创始人？

blakejia

2017-10-27 09:16:50 +08:00

正好找个借口换了 typecho + 1

CreSim

2017-10-27 09:20:01 +08:00 via Android

问一下你们换了 typecho 准备用什么呢，静态博客是真的不想用

miyuki

2017-10-27 09:20:28 +08:00 via Android

吃瓜

trydgame

2017-10-27 09:20:55 +08:00 via Android

吃瓜群众

f2f2f

2017-10-27 09:21:08 +08:00

国产 blog 系统真是挂的差不多了。还是老实用臃肿的 wp 吧

lidasd

2017-10-27 09:23:30 +08:00

吃瓜

zrj766

2017-10-27 09:24:21 +08:00 via Android

typecho 一直当做记事本，搞吧搞吧，我那个笔记本站搞了没任何价值，2333，反正本地网盘都有备份

FFLY

2017-10-27 09:24:43 +08:00

还好很久之前就已经不用了

kn007

2017-10-27 09:25:25 +08:00 via Android

@f2f2f 其实臃肿只是功能多，觉得用不上而已。wordpress 优化好，蛮快。（ wordpress 有点像 Android，你需要折腾）
像我，感觉很多功能就能用得上，而且速度比 typecho 也没区别啊，相反我没觉得 typecho 快多少。
美国机： https://kn007.net

CEBBCAT

2017-10-27 09:28:12 +08:00 via Android

每次梯子成批跪、安全大漏洞都有人说“还好 balabalabala ”

🤤

xnotepad

2017-10-27 09:28:17 +08:00

越来越懒，现在都改用静态博客系统了。发文章只要 `git push` 一下就行，方便。

joyqi

2017-10-27 09:31:29 +08:00 via iPhone

莫慌莫慌，几天前已经修复了，如果等不及正式版，可以先删掉 install.php

Shura

2017-10-27 09:32:27 +08:00 via Android

@xnotepad 越来越懒，最后还是换回了 wp，操作方便。

Tink

2017-10-27 09:33:20 +08:00 via iPhone

正常人安装完不会把 install.php 删了吗

miyuki

2017-10-27 09:35:33 +08:00 via Android

@joyqi 惊了，commit 本人

49gd

2017-10-27 09:38:53 +08:00

@joyqi 是作者么。。

minbaby

2017-10-27 09:39:27 +08:00

防不胜防啊, 赶紧偷偷删了 install.php

only0jac

2017-10-27 09:45:57 +08:00 via Android

大家都说删了 install 就行了，就没有人想问问 @joyqi 为什么会有这段代码吗？

flyz

2017-10-27 09:54:24 +08:00 via Android

@joyqi 1.1 正式版多久发布呀，用了开发版一段时间了。

junbguistar

2017-10-27 09:55:23 +08:00

哇

torbrowserbridge

2017-10-27 09:57:26 +08:00

“已经修复”，呵呵呵呵。

nazor

2017-10-27 10:12:15 +08:00 via iPhone

？？？这也太恶心了吧

demo

2017-10-27 10:30:38 +08:00

凉了，准备换掉 typecho

nazor

2017-10-27 11:13:32 +08:00

"我们发现祁宁其实就是 joyqi，而 joyqi 是 typecho 的核心开发者，他把这段代码在 2014-04-08 写好后直接提交在了 master 中，查看 v0.9-14.5.25 的 releases，其中已经包含了这段代码，也就是说，这段代码形似后门的代码由核心开发者提交后，存在了三年半的时间，都没有任何人发现。。。。

那么究竟是谁添加的这段鸡儿用没有，但是谁都看不出来的代码呢。。。。。可能是 14 年的时候 joyqi 对账号被人黑掉了吧，也或许，这真的是开发者的一时手滑。细思恐极。"

@joyqi

Telegram

2017-10-27 11:17:38 +08:00

@joyqi #21 这来一句修复就好了？不准备解释点什么吗？

bsder

2017-10-27 11:27:40 +08:00

好吓人，用过一段 typecho，还好现在不搞 blog 那套了。

ScotGu

2017-10-27 11:49:50 +08:00

install.php 和 install 目录不是安装后第一时间干掉么？

zgk

2017-10-27 11:51:46 +08:00

方什么呢，漏洞本身并没那么容易利用啊
https://paper.seebug.org/424/

部署的时候把运行 php-fpm 的用户独立开，配置好权限，让它只对 usr/uploads 才有写入权限，即使是 getshell 应该也不用太担心吧。

Mutoo

2017-10-27 11:53:27 +08:00

翻了下日志，还真的中招了，后门都种好了。

[26/Oct/2017:23:59:28 +1100] "POST /var/PasswordHash.php HTTP/1.1" 200 7 "https://***/" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"

ctsed

2017-10-27 11:59:53 +08:00 via Android

@zgk 呵呵，在你网站上搞个 shell 给大伙玩玩？

hjc4869

2017-10-27 12:02:45 +08:00 via iPhone

@zgk 不会有人关心你的 root 权限或者其他文件，有网站本身运行的权限，就可以拿来爆你的数据库，以及做肉机 ddos 了

fiht

2017-10-27 12:12:15 +08:00

@zgk 不要把漏洞分析和漏洞利用混为一谈。

xvx

2017-10-27 12:43:04 +08:00 via iPhone

当年很多人在说换 Typecho 的时候，我忍住了继续用臃肿的 WP，因为之前用 z-blog 一段时间后也是忍不住换回了 WP。
现在用自己开发的博客（ django 框架）……既能装逼，又有官方维护底层框架，岂不美哉？ hiahia~

bbsteel

2017-10-27 12:44:45 +08:00 via Android

@zgk 对后门如此宽容，是平时戴习惯原谅帽吗？

Noisky

2017-10-27 12:45:08 +08:00

一直用的 typecho，不过既然出了漏洞，就把 install.php 改成输出一句话吧 = =

ctsed

2017-10-27 13:03:07 +08:00 via Android

这段代码只要你设置了正确的 referer，然后加上一个 finish 参数就可以进入到这个分支中，他会直接反序列化 cookie 中传入的一个值，然后进行一些 db 初始化操作，但是这个初始化操作实际上没有任何一丁点作用，所以这里有这段代码本身就非常奇怪

zgk

2017-10-27 13:08:31 +08:00

@joyqi 的最新文章说明了这个问题
https://joyqi.com/typecho/about-typecho-20171027.html

lichifeng

2017-10-27 13:11:59 +08:00 via Android

@CreSim 试试 GRAV 静态的挺好的

zgk

2017-10-27 13:43:06 +08:00

@ctsed
@bbsteel
可能我的表述还是有点问题，sorry，并不是说我对漏洞和后门宽容的意思，平时注意好程序的执行权限的分配，在搞清楚漏洞发生的原因还有解决方式的情况下，不需要太过于紧张吧。

我个人是十分信任 Typecho 的作者的，Typecho 也是陪伴着我入门编程和 Web 的一个程序，也比较有感情，所以我比较倾向于维护作者这边。

@hjc4869 这一点我的确没考虑清楚，我只想着文件那一块了，感谢你指出我的不足。

Telegram

2017-10-27 13:49:49 +08:00 via iPhone

@zgk 看了下官方回应，还算比较可信的，看来应该是误会。