2013-11-08
近期,安全聯盟站長平臺“專家漏洞修復中心”收到多名站長求救的信息稱:他們的網站被黑客入侵并被放置一個文件名為“90sec.php”的網站木馬文件,更加奇怪郁悶的是這個文件刪除后,第二天又重新出現了。安全聯盟站長平臺的漏洞修復專家分析分析,這些站長有一個共同的特點就是他們都使用了同一套建站軟件“DedeCMS”。
據安全專家介紹,DedeCMS是一套基于PHP+MySQL的技術開發,支持多種服務器平臺,從2004年發布開始,就以簡單、健壯、靈活、開源幾大特點占領了國內 CMS的大部份市場,目前已經有超過35萬個站點正在使用DedeCMS或基于DedeCMS核心開發,產品安裝量達到95萬。是目前國內常見的建站程 序之一,也是“黑客”密切關注的對象!安全聯盟站長平臺主要核心技術支撐SCANV網站安全中心團隊成員曾多次發現、預警、并報告DedeCMS的安全漏洞。
就在2013年6月7日,SCANV網站安全中心曾發布“紅色安全警報”(http://bbs.jiasule.com/thread-3848-1-1.html)預警DedeCMS存在“高危”的嚴重安全漏洞,而這個漏洞就是本文前面提到多名站長求救的“罪魁禍首”!
這個漏洞細節及利用,早是又一名為“imspider”的漏洞研究者在著名網絡安全社區t00ls論壇于6月7日曝光的。漏洞曝光后SCANV網站安全中心立緊急響應,發布“紅色安全警報”、推出里臨時解決方案并積極聯系了DedeCMS官方,當天官方就發布了相關漏洞升級。但是由于DedeCMS用戶量巨大、很多的站長安全意識不足沒有及時安裝更新的安全補丁,再加上大量的基于DedeCMS進行二次開發用戶考慮到兼容性問題而拒絕安裝安全補丁。這些也 就導致了這個漏洞得持久的危害,目前還有大量的網站用戶受到這個漏洞的影響。
在另一方面,黑客也早早的盯上了這塊“肥肉”般的漏洞,據國 內著名CDN云安全服務提供商加速樂就漏洞曝光后分析發現,這個漏洞早在6月7日被曝光前就有“黑客”利用該漏洞,早日志紀錄顯示為2012年12月 27日,只是當時利用方式的限制,而沒有出現大規模黑站行為。而這個漏洞細節被公開后,出現了各種各樣的自動化攻擊的工具,這樣的攻擊變得更加“簡單”、 “快速”、“直接”,攻擊者配合各個搜素引擎批量入侵使用DedeCMS的網站,而利用方式更加“暴力”,直接在網站上寫入網站木馬(如前文提到的 “90sec.php”)。
至于之前站長反饋的“網站木馬文件刪除后,第二天又重新出現了”這個奇怪現象,則與這個漏洞的利用方式有關, 攻擊者可以通過這個漏洞直接控制數據庫,篡改數據庫里的數據內容,那么攻擊者利用這個漏洞,把一段惡意PHP代碼寫入數據庫的某個數據字段內,再利用 DedeCMS對這個字段里的數據的處理時會執行插入到數據庫里的惡意PHP代碼,終導致在目標網站上寫入網站木馬文件,完全控制這個網站。所以當站長 在刪除網站上的木馬文件時,并沒有刪除數據庫內的內容,所以當DedeCMS對這個被插入惡意代碼的字段里的數據處理時,再次出現了被刪除了的網站木馬文件。也就是這個漏洞利用的特殊性,包括某互聯網網絡安全公司推出的“網站后門查殺”在內的各種網站木馬掃描軟件基本都不支持數據庫里的惡意代碼是掃描。
針對這一漏洞的特殊性及巨大的影響,安全聯盟站長平臺為DedeCMS的站長量身打造一個“DedeCMS漏洞后門專殺工具”,該工具只需下載放置到Dedecms根目錄下運行后,可“一鍵掃描”查找漏洞、網站木馬及數據庫里的惡意代碼并清除干凈。
操作過程示例:
工具下載地址:http://zhanzhang.anquan.org/static/download/dede_killer.zip
下一條:dede網站安全設置
