支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了,通过朋友介绍,找到我们SINE安全公司寻求网站安全防护支持,针对客户支付通道并聚合支付网站目前发生被网站攻击,被篡改的问题,我们立即成立了网站安全应急响应小组,分析问题,找到漏洞根源,防止攻击篡改,将客户的损失降到最低。

临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了,通过朋友介绍,找到我们SINE安全公司寻求网站安全防护支持,针对客户支付通道并聚合支付网站目前发生被网站攻击,被篡改的问题,我们立即成立了网站安全应急响应小组,分析问题,找到漏洞根源,防止攻击篡改,将客户的损失降到最低。

0e2442a7d933c895c0838deb611b7af6830200aa.jpeg

我们将这次安全处理的解决过程分享出来,也是希望整个支付平台更加的安全。首先对接到客户这面,我们Sinesafe安排了几位从业十年的安全工程师来负责解决此次聚合支付平台被攻击,篡改的安全问题,了解客户支付网站目前发生的症状以及支付存在哪些漏洞,客户说支付平台运营一个月时出现过这些问题,然后在运营的第二个月陆续出现几次被攻击篡改的情况,客户自己的技术根据网站日志分析进攻路线排查加以封堵后,后续两个月支付均未被攻击,就在最近快过年的这几天,支付订单被篡改,很多未支付的订单竟然被篡改为成功支付,并从通道返回成功数据,导致平台损失较大,随即对支付通道进行了暂停,并联系码商停止支付接口。客户还反映支付链接被劫持,跳转到别人那去了,导致很多支付的订单都被支付到攻击者的账户中去了,损失简直不可言语。


很多商户以及集团使用聚合支付平台,那么损失的就是商户与支付平台这两家,商户有些时候对小金额的订单并没有详细的检查,包括支付平台也未对一些小金额的订单仔细的审计,导致攻击者混淆视线模拟正常的支付过程来篡改订单状态达到获取自己利益的目的。支付通道对接,回调下发都是秒级的,支付订单并发太大,几乎人工根本察觉不到资金被盗走,客户从通道对比聚合支付的总账,发现金额不对等,这才意识到网站被黑,被入侵了。


8cb1cb1349540923967017e390e2c20fb2de4955.jpeg


接下来我们开始对客户的网站代码,以及服务器进行全面的人工安全审计,检测网站目前存在的漏洞以及代码后门,客户网站使用的是thinkphp+mysql数据库架构,服务器系统是linux centos使用宝塔面板作为服务器的管理,我们打包压缩了一份完整的聚合支付源代码,包括网站进1个月的访问日志也进行了压缩,下载到我们SINE安全工程师的本地电脑,通过我们工程师的一系列安全检测与日志的溯源追踪,发现了问题。网站存在木马后门也叫webshell,在文件上传目录里发现的,redmin.php的PHP脚本木马,还有coninc.php数据库管理的木马后门,如下图所示:


503d269759ee3d6d3564724642ac7e244d4aded9.jpeg


这个数据库木马后门的作用是可以对数据库的表段进行修改,通过检查日志发现订单支付状态被修改的原因就是通过这个数据库木马后门进行的,对未支付的订单状态进行了数据库的修改,绕过上游通道的回调接口数据返回,直接将状态改为支付成功,并返回到商户那面将充值金额加到了客户网站上,攻击者直接在客户网站上消费并提现,所有的损失都由支付平台承担了。我们SINE安全技术紧接着对支付提交功能代码进行安全审计的时候发现存在SQL注入漏洞,可以UPDATE 恶意代码到数据库中执行,导致可以修改数据库的内容,并生成远程代码下载到网站根目录下,生成webshell文件,TP架构本身也存在着远程代码执行漏洞,导致此次网站被攻击被篡改的根源就在于此,我们立即对该网站漏洞,也算是TP框架漏洞进行了修复,对网站文件目录做了防篡改安全部署,禁止任何PHP文件的生成。


4afbfbedab64034ffb6eab41ac796a370b551d11.jpeg


继续安全检测我们发现客户网站的商户以及码商用到的用户登录功能存在任意登入漏洞,程序员在写代码的过程中未对用户的状态进行判断,导致用户后台被随意登入,攻击者可以登录后台去确认未支付的订单,直接将订单设为支付成功并返回到商户网站中去,来实现资金的盗取。我们对客户的后台登录功能进行了修复,对用户的所属权限进行判断,以及数据库密码的校验。至此我们SINE安全技术清除了所有支付平台里存在的木马后门文件,包括网站漏洞都进行了全面的修复,对网站进行全面的加固与防御,如果您的聚合支付,或者是支付通道系统出现被篡改,被攻击的问题,建议找专业的网站安全公司来解决处理,国内SINESAFE,启明星辰,绿盟,深信服都是国内比较专业的,也希望我们这次的安全问题处理过程分享,能让支付平台的网络安全更上一层,平台越安全,我们的支付越安全,资金也就越安全。


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
安全 网络协议 网络安全
网站被攻击了该怎么办?如何恢复网站,如何避免网站被攻击?
网站被攻击了该怎么办?如何恢复网站,如何避免网站被攻击?
|
7月前
|
存储 安全 网络安全
怎么看服务器是中毒了还是被攻击?以及后续处理方案
怎么看服务器是中毒了还是被攻击?以及后续处理方案
|
监控 安全 搜索推荐
网站后台数据被入侵篡改了如何解决
网站后台被黑客攻击了怎么办,最近接到一个客户的诉求反映说网站被攻击了后台数据总是被篡改和泄露,而且维持这个状况已经很长时间了,了解完才发现原来早期用的是thinkphp系统源码来搭建的网站,代码版本可以来说是非常古董的,而且后台漏洞非常的多,后面找了一个技术来解决这个问题,但是这个过程他又花了不少时间和钱,漏洞修完过段时间又被反反复复的篡改会员数据,于是他们干脆就改成了完全静态的网站,这个方法只能是治标不治本。
524 0
网站后台数据被入侵篡改了如何解决
|
安全 算法 测试技术
网站安全测试之支付漏洞检测与修复
前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
2453 0
|
安全 搜索推荐 JavaScript
网站被入侵快照被劫持该如何解决
网站安全是重中之重对此我们Sinesafe对于网站被挂马被黑的防范意识,如何判断网站被黑,网站被挂马,网站快照被劫持,网站快照被篡改,导致被百度网址安全中心提醒您:该页面可能存在违法信息。
158 0
网站被入侵快照被劫持该如何解决
|
SQL 安全 前端开发
网站会员信息被黑客入侵攻击修改了数据怎么解决
2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。
292 0
网站会员信息被黑客入侵攻击修改了数据怎么解决
|
安全 搜索推荐 JavaScript
如何解决网站首页老是被篡改经常反复被篡改
网站首页被篡改说明你网站程序有漏洞导致被上传了脚本后门木马 从而进行篡改内容被百度收录一些BC内容和垃圾与网站不相关的内容,建议找专业做安全的来进行网站安全服务漏洞检测与修补以及代码安全审计,清理网站后门和恶意代码,而且这个快照内容被劫持 会在搜索引擎中点开后网站会被跳转,对网站的影响非常大
568 0
如何解决网站首页老是被篡改经常反复被篡改
|
SQL 安全 搜索推荐
如何处理网站被植入恶意的一些代码导致的被机房拦截提示
如何处理网站被植入恶意的一些代码导致的被机房拦截提示
292 0
如何处理网站被植入恶意的一些代码导致的被机房拦截提示
|
安全 程序员 PHP
如何修复网站漏洞Discuz被挂马 快照被劫持跳转该如何处理
Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2、X3.3来,最稳定的社区论坛系统。目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全检测的时候,发现网站漏洞,该漏洞是由于用户登录论坛的时候调用的微信接口,导致可以进行任意登录,甚至可以登录到管理员的账号里去。
2269 0
|
SQL 安全 PHP
网站被黑提醒该站点可能受到黑客攻击,部分页面已被非法篡改
大清早的一上班收到3个网站客户的QQ联系,说是自己公司的网站被跳转到了北京sai车,cai票,du博网站上去了,我们SINE安全公司对3个网站进行了详细的安全检测,发现这3个客户的网站都是同样的症状,网站首页文件index.php,index.html都被篡改添加了恶意的代码。
3917 0