MagicBlack Maccms10 JS文件异常代码分析与防护

事件概述

近期在MagicBlack Maccms10内容管理系统（版本2023.1000.3052和2024.1000.4020）中发现了多起JS文件被插入异常代码的安全事件。攻击者通过某种方式向网站的JavaScript文件中添加了经过特殊设计的代码片段，这些代码具有明显的混淆特征，旨在逃避常规的安全检测。

异常代码技术分析

代码混淆技术

被插入的异常代码采用了多层混淆技术：

1. 字符串拼接与反转：使用j = 'hp7cycq5CduFGdy9Gct' + 'l2Lzp2LjlG'等形式的字符串拼接，以及vn()函数中的数组反转操作
2. Base64解码：通过自定义的no()函数实现类Base64解码功能
3. 动态执行：使用eval()函数动态执行解码后的代码
4. 环境检测：包含对浏览器窗口尺寸(window.outerHeight等)和引用来源(document.referrer)的检测

异常行为特征

从代码结构分析，这段异常脚本可能具有以下功能：

1. 数据收集：收集用户浏览器环境信息、访问来源等数据
2. 隐蔽通信：可能通过构造特定URL参数(cc变量)与远程服务器通信
3. 防重复执行：通过window['imported_r_important']标记防止重复插入
4. 时间戳混淆：使用Date.now()生成混淆参数

安全防护建议

应急处理措施

1. 文件对比检查：立即使用系统自带的文件对比功能，检查所有JS文件是否被修改
2. 权限设置：将关键目录设置为只读权限，防止未授权写入
   • Linux系统：chmod -R 444 /path/to/js/files
   • Windows系统：移除IIS或Apache用户对JS目录的写入权限
3. 代码还原：从备份中恢复被修改的文件，或使用原始安装包覆盖

长期防护方案

1. 定期安全审计：
   • 建立文件完整性监控机制
   • 使用版本控制系统跟踪文件变更
2. 安全加固：
   • 禁用不必要的PHP函数(如eval()、system()等)
   • 配置Web应用防火墙(WAF)规则拦截可疑请求
3. 开发规范：
   • 实现内容安全策略(CSP)防止XSS攻击
   • 对用户输入进行严格过滤和转义

系统管理员操作指南

1. 文件恢复步骤：

   • 登录系统后台，进入"系统工具"→"文件对比"
   • 对比核心JS文件与原始版本差异
   • 对有差异的文件进行还原操作

2. 权限设置建议：

   • /static/js/目录设置为755权限(所有者可写，其他只读)
   • /application/目录设置为644权限(所有者可写，其他只读)

3. 日志分析要点：

   • 检查近期是否有异常的文件修改记录
   • 分析访问日志中可疑的POST请求
   • 关注包含eval、base64_decode等关键词的请求

总结

JS文件插入是CMS系统常见的安全威胁之一，攻击者通常利用系统缺陷或弱口令获取写入权限。MagicBlack Maccms10用户应提高安全意识，定期更新系统补丁，加强文件权限管理，并建立完善的文件监控机制，才能有效防范此类安全风险。对于已经发生的安全事件，建议按照上述步骤进行彻底清理和加固，防止二次感染。