近期，安全聯(lián)盟站長(cháng)平臺“專(zhuān)家漏洞修復中心”收到多名站長(cháng)求救的信息稱(chēng)：他們的網(wǎng)站被黑客入侵并被放置一個(gè)文件名為“90sec.php”的網(wǎng)站木馬文件，更加奇怪郁悶的是這個(gè)文件刪除后，第二天又重新出現了。安全聯(lián)盟站長(cháng)平臺的漏洞修復專(zhuān)家分析分析，這些站長(cháng)有一個(gè)共同的特點(diǎn)就是他們都使用了同一套建站軟件“DedeCMS”。據安全專(zhuān)家介紹，DedeCMS是一套基于PHP+MySQL的技術(shù)開(kāi)發(fā)，支持多種服務(wù)器平臺，從2004年發(fā)布開(kāi)始，就以簡(jiǎn)單、健壯、靈活、開(kāi)源幾大特點(diǎn)占領(lǐng)了國內CMS的大部份市場(chǎng)，目前已經(jīng)有超過(guò)35萬(wàn)個(gè)站點(diǎn)正在使用DedeCMS或基于DedeCMS核心開(kāi)發(fā)，產(chǎn)品安裝量達到95萬(wàn)。是目前國內最常見(jiàn)的建站程序之一，也是“黑客”密切關(guān)注的對象!安全聯(lián)盟站長(cháng)平臺主要核心技術(shù)支撐SCANV網(wǎng)站安全中心團隊成員曾多次發(fā)現、預警、并報告DedeCMS的安全漏洞。

　　就在2013年6月7日，SCANV網(wǎng)站安全中心曾發(fā)布“紅色安全警報”(http://www.tjdsmy.cn/thread-3848-1-1.html)預警DedeCMS存在“高?！钡膰乐匕踩┒?，而這個(gè)漏洞就是本文前面提到多名站長(cháng)求救的“罪魁禍首”!

　　這個(gè)漏洞細節及利用，最早是又一名為“imspider”的漏洞研究者在著(zhù)名網(wǎng)絡(luò )安全社區t00ls論壇于6月7日曝光的。漏洞曝光后SCANV網(wǎng)站安全中心立緊急響應，發(fā)布“紅色安全警報”、推出里臨時(shí)解決方案并積極聯(lián)系了DedeCMS官方，當天官方就發(fā)布了相關(guān)漏洞升級。但是由于DedeCMS用戶(hù)量巨大、很多的站長(cháng)安全意識不足沒(méi)有及時(shí)安裝更新的安全補丁，再加上大量的基于DedeCMS進(jìn)行二次開(kāi)發(fā)用戶(hù)考慮到兼容性問(wèn)題而拒絕安裝安全補丁。這些也就導致了這個(gè)漏洞得持久的危害，目前還有大量的網(wǎng)站用戶(hù)受到這個(gè)漏洞的影響。

　　在另一方面，黑客也早早的盯上了這塊“肥肉”般的漏洞，據國內著(zhù)名CDN云安全服務(wù)提供商加速樂(lè )就漏洞曝光后分析發(fā)現，這個(gè)漏洞早在6月7日被曝光前就有“黑客”利用該漏洞，最早日志紀錄顯示為2012年12月27日，只是當時(shí)利用方式的限制，而沒(méi)有出現大規模黑站行為。而這個(gè)漏洞細節被公開(kāi)后，出現了各種各樣的自動(dòng)化攻擊的工具，這樣的攻擊變得更加“簡(jiǎn)單”、“快速”、“直接”，攻擊者配合各個(gè)搜素引擎批量入侵使用DedeCMS的網(wǎng)站，而利用方式更加“暴力”，直接在網(wǎng)站上寫(xiě)入網(wǎng)站木馬(如前文提到的“90sec.php”)。

　　至于之前站長(cháng)反饋的“網(wǎng)站木馬文件刪除后，第二天又重新出現了”這個(gè)奇怪現象，則與這個(gè)漏洞的利用方式有關(guān)，攻擊者可以通過(guò)這個(gè)漏洞直接控制數據庫，篡改數據庫里的數據內容，那么攻擊者利用這個(gè)漏洞，把一段惡意PHP代碼寫(xiě)入數據庫的某個(gè)數據字段內，再利用DedeCMS對這個(gè)字段里的數據的處理時(shí)會(huì )執行插入到數據庫里的惡意PHP代碼，最終導致在目標網(wǎng)站上寫(xiě)入網(wǎng)站木馬文件，完全控制這個(gè)網(wǎng)站。所以當站長(cháng)在刪除網(wǎng)站上的木馬文件時(shí)，并沒(méi)有刪除數據庫內的內容，所以當DedeCMS對這個(gè)被插入惡意代碼的字段里的數據處理時(shí)，再次出現了被刪除了的網(wǎng)站木馬文件。也就是這個(gè)漏洞利用的特殊性，包括某互聯(lián)網(wǎng)網(wǎng)絡(luò )安全公司推出的“網(wǎng)站后門(mén)查殺”在內的各種網(wǎng)站木馬掃瞄軟件基本都不支持數據庫里的惡意代碼是掃瞄。

　　針對這一漏洞的特殊性及巨大的影響，安全聯(lián)盟站長(cháng)平臺為DedeCMS的站長(cháng)量身打造一個(gè)“DedeCMS漏洞后門(mén)專(zhuān)殺工具”，該工具只需下載放置到Dedecms根目錄下運行后，可“一鍵掃瞄”查找漏洞、網(wǎng)站木馬及數據庫里的惡意代碼并清除干凈。

　　專(zhuān)殺工具下載地址：http://www.tjdsmy.cn/static/download/dede_killer.zip

　　使用交流：http://www.tjdsmy.cn/thread-4977-1-1.html

　　文章來(lái)自 網(wǎng)絡(luò )尖刀 原帖地址：http://www.tjdsmy.cn/article-19174-1.html