網絡安全公司 Akamai 于 6 月 5 日發布博文，黑客近期再次利用 2018 年曝光的漏洞，攻擊 ThinkPHP 應用程序安裝名為 Dama 的持久性后門殼層(web shell)。

　　ThinkPHP 是一個免費開源的，快速、簡單的面向對象的輕量級 PHP 開發框架，是為了敏捷 WEB 應用開發和簡化企業應用開發而誕生的，在國內比較盛行。

　　IT之家附上本次黑客利用的漏洞如下：

　　CVE-2018-20062：

　　2018 年 12 月修復，存在于 NoneCMS 1.3 中，遠程攻擊者可以通過精心設計的過濾器參數執行任意 PHP 代碼。

　　CVE-2019-9082

　　影響開源 BMS 1.1.1 中使用的 ThinkPHP 3.2.4 及更早版本，是一個于 2019 年 2 月解決的遠程命令執行問題。

　　在這次攻擊活動中，攻擊者利用這兩個漏洞執行遠程代碼，影響目標端點上的底層內容管理系統(CMS)。

　　具體地說，攻擊者利用這些漏洞下載了一個名為“public.txt”的文本文件，而這個文件實際上是經過混淆的 Dama 后門殼層，保存為“roeter.php”。

　　該后門殼層會下載相關攻擊腳本，使用密碼“admin”進行簡單的身份驗證步驟，實現遠程控制服務器。

　　設備一旦感染 Dama 后門殼層，攻擊者入侵服務器上的文件系統、上傳文件和收集系統數據，幫助其提升至 root 權限。

　　它還可以執行網絡端口掃描、訪問數據庫，以及繞過禁用的 PHP 功能執行 shell 命令。