元智大學-燃料電池中心任意檔案下載、phpinfo洩漏、網站被掛上詐騙網站

Vulnerability Overview

ZDID: ZD-2025-00096
發信 Vendor: 元智大學
Title: 元智大學-燃料電池中心任意檔案下載、phpinfo洩漏、網站被掛上詐騙網站
Introduction: phpinfo洩漏以及網站被導向其他網站

處理狀態

目前狀態

公開

Last Update : 2025/03/11

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2025/01/22 16:56:31 : 新提交 (由 aaa 更新此狀態)
2025/01/22 16:57:21 : 新提交 (由 aaa 更新此狀態)
2025/01/22 17:09:25 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:02:33 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:03:10 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:03:26 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:05:40 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:06:10 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:06:51 : 新提交 (由 aaa 更新此狀態)
2025/01/23 10:20:59 : 新提交 (由 aaa 更新此狀態)
2025/01/23 11:29:38 : 新提交 (由 aaa 更新此狀態)
2025/01/23 11:35:44 : 新提交 (由 aaa 更新此狀態)
2025/01/23 11:40:01 : 新提交 (由 aaa 更新此狀態)
2025/01/24 15:16:35 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/02/05 17:05:31 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/02/05 17:05:34 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/03/07 11:33:29 : 複測申請中 (由組織帳號更新此狀態)
2025/03/07 15:25:25 : 確認已修補 (由 aaa 更新此狀態)
2025/03/07 15:25:33 : 確認已修補 (由 aaa 更新此狀態)
2025/03/07 15:26:13 : 確認已修補 (由 aaa 更新此狀態)
2025/03/11 03:03:44 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-00096
通報者：gbc8763 (aaa)
風險：高
類型：疑似遭入侵 (Probably Hacked)

參考資料

伺服器遭到入侵，例如頁面遭植入惡意程式、後門頁面等。

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

在alienvault找到疑似元智大學的網站被駭，於是利用google搜尋看看。

已經被駭客掛上詐騙網站。

順便用dirsearch檢查一下，發現很多地方可以存取(php.info、FCKeditor)

1/23補充
https://www.fuelcells.org.tw/upload/

有大量文件可以下載，裡面有很多個資。

轉址Terminal(https://www.fuelcells.org.tw/upload/20190317141422f_file.html)

惡意轉址程式(https://www.fuelcells.org.tw/upload/20190317141044f_photo.js)

修補建議

建議檢查伺服器所有目錄，感覺已經有很多駭客來過，檢查有沒有留下其他後門，再把不該開放的頁面都關閉。

另外php的版本太舊了(5.5.38)，如果可以的話升級到最新版本。

1/23更新
upload路徑有兩個假的txt檔案(PHP後門)
6NZZvD.TXT、GxYez0.txt

駭客使用的工具(NumJS、Tiny-PHP-Webshell)
https://github.com/cliffordwolf/NumJS/tree/master/examples/shell
https://github.com/bayufedra/Tiny-PHP-Webshell