臨近春節(jié)，某聚合支付平臺被攻擊篡改，導(dǎo)致客戶提現(xiàn)銀行卡信息被修改，支付訂單被惡意回調(diào)，回調(diào)API接口的數(shù)據(jù)也被篡改，用戶管理后臺被任意登入，商戶以及碼商的訂單被自動確認(rèn)導(dǎo)致金額損失超過幾十萬，平臺被攻擊的徹底沒辦法了，通過朋友介紹，找到我們SINE安全公司尋求網(wǎng)站安全防護支持，針對客戶支付通道并聚合支付網(wǎng)站目前發(fā)生被網(wǎng)站攻擊，被篡改的問題，我們立即成立了網(wǎng)站安全應(yīng)急響應(yīng)小組，分析問題，找到漏洞根源，防止攻擊篡改，將客戶的損失降到最低。

我們將這次安全處理的解決過程分享出來，也是希望整個支付平臺更加的安全。首先對接到客戶這面，我們Sinesafe安排了幾位從業(yè)十年的安全工程師來負(fù)責(zé)解決此次聚合支付平臺被攻擊，篡改的安全問題，了解客戶支付網(wǎng)站目前發(fā)生的癥狀以及支付存在哪些漏洞，客戶說支付平臺運營一個月時出現(xiàn)過這些問題，然后在運營的第二個月陸續(xù)出現(xiàn)幾次被攻擊篡改的情況，客戶自己的技術(shù)根據(jù)網(wǎng)站日志分析進攻路線排查加以封堵后，后續(xù)兩個月支付均未被攻擊,就在最近快過年的這幾天，支付訂單被篡改，很多未支付的訂單竟然被篡改為成功支付，并從通道返回成功數(shù)據(jù)，導(dǎo)致平臺損失較大，隨即對支付通道進行了暫停，并聯(lián)系碼商停止支付接口?？蛻暨€反映支付鏈接被劫持，跳轉(zhuǎn)到別人那去了，導(dǎo)致很多支付的訂單都被支付到攻擊者的賬戶中去了，損失簡直不可言語。

很多商戶以及集團使用聚合支付平臺，那么損失的就是商戶與支付平臺這兩家，商戶有些時候?qū)π〗痤~的訂單并沒有詳細的檢查，包括支付平臺也未對一些小金額的訂單仔細的審計，導(dǎo)致攻擊者混淆視線模擬正常的支付過程來篡改訂單狀態(tài)達到獲取自己利益的目的。支付通道對接，回調(diào)下發(fā)都是秒級的，支付訂單并發(fā)太大，幾乎人工根本察覺不到資金被盜走，客戶從通道對比聚合支付的總賬，發(fā)現(xiàn)金額不對等，這才意識到網(wǎng)站被黑，被入侵了。

接下來我們開始對客戶的網(wǎng)站代碼，以及服務(wù)器進行全面的人工安全審計，檢測網(wǎng)站目前存在的漏洞以及代碼后門，客戶網(wǎng)站使用的是thinkphp+mysql數(shù)據(jù)庫架構(gòu)，服務(wù)器系統(tǒng)是linux centos使用寶塔面板作為服務(wù)器的管理，我們打包壓縮了一份完整的聚合支付源代碼，包括網(wǎng)站進1個月的訪問日志也進行了壓縮，下載到我們SINE安全工程師的本地電腦，通過我們工程師的一系列安全檢測與日志的溯源追蹤，發(fā)現(xiàn)了問題。網(wǎng)站存在木馬后門也叫webshell，在文件上傳目錄里發(fā)現(xiàn)的，redmin.php的PHP腳本木馬，還有coninc.php數(shù)據(jù)庫管理的木馬后門，如下圖所示：

這個數(shù)據(jù)庫木馬后門的作用是可以對數(shù)據(jù)庫的表段進行修改，通過檢查日志發(fā)現(xiàn)訂單支付狀態(tài)被修改的原因就是通過這個數(shù)據(jù)庫木馬后門進行的，對未支付的訂單狀態(tài)進行了數(shù)據(jù)庫的修改，繞過上游通道的回調(diào)接口數(shù)據(jù)返回，直接將狀態(tài)改為支付成功，并返回到商戶那面將充值金額加到了客戶網(wǎng)站上，攻擊者直接在客戶網(wǎng)站上消費并提現(xiàn)，所有的損失都由支付平臺承擔(dān)了。我們SINE安全技術(shù)緊接著對支付提交功能代碼進行安全審計的時候發(fā)現(xiàn)存在SQL注入漏洞，可以UPDATE 惡意代碼到數(shù)據(jù)庫中執(zhí)行，導(dǎo)致可以修改數(shù)據(jù)庫的內(nèi)容，并生成遠程代碼下載到網(wǎng)站根目錄下，生成webshell文件，TP架構(gòu)本身也存在著遠程代碼執(zhí)行漏洞，導(dǎo)致此次網(wǎng)站被攻擊被篡改的根源就在于此，我們立即對該網(wǎng)站漏洞，也算是TP框架漏洞進行了修復(fù)，對網(wǎng)站文件目錄做了防篡改安全部署，禁止任何PHP文件的生成。

繼續(xù)安全檢測我們發(fā)現(xiàn)客戶網(wǎng)站的商戶以及碼商用到的用戶登陸功能存在任意登入漏洞，程序員在寫代碼的過程中未對用戶的狀態(tài)進行判斷，導(dǎo)致用戶后臺被隨意登入，攻擊者可以登陸后臺去確認(rèn)未支付的訂單，直接將訂單設(shè)為支付成功并返回到商戶網(wǎng)站中去，來實現(xiàn)資金的盜取。我們對客戶的后臺登陸功能進行了修復(fù)，對用戶的所屬權(quán)限進行判斷，以及數(shù)據(jù)庫密碼的效驗。至此我們SINE安全技術(shù)清除了所有支付平臺里存在的木馬后門文件，包括網(wǎng)站漏洞都進行了全面的修復(fù)，對網(wǎng)站進行全面的加固與防御，如果您的聚合支付，或者是支付通道系統(tǒng)出現(xiàn)被篡改，被攻擊的問題，建議找專業(yè)的網(wǎng)站安全公司來解決處理，國內(nèi)SINESAFE,啟明星辰，綠盟，深信服都是國內(nèi)比較專業(yè)的，也希望我們這次的安全問題處理過程分享，能讓支付平臺的網(wǎng)絡(luò)安全更上一層，平臺越安全，我們的支付越安全，資金也就越安全。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！