[预警]来自国内的大规模挂马攻击，目标DedeCMS

可能这个预警来了迟一些，不过我们非常想表明：DedeCMS真是一个不安全的CMS，据我们安全研究团队的统计，DedeCMS是国内使用最为广泛的CMS（包括那些大品牌网站），但安全漏洞频发，官方响应迟钝，导致最近的好几起大规模攻击事件都和它有关。

比如上次说的《[黑产科普]最近大规模的QQ空间钓鱼攻击》，还有这次说的挂马事件。

这次传播的网马是“CVE2012-1889(MS12-043)”，利用IE6/7/8的堆喷方式在本地执行任意命令，网马以“轩辕传奇”游戏为关键词进行传播，如下页面：

这个页面开头的部分源码如下：

有一段经典的JS判断：如果来自百度、Google等搜索引擎，就直接跳转到网马攻击代码页面。

否则直接执行下面嵌入的js文件（不过居然在<script>里嵌入html文件，低级的错误……）。

这个网马利用的是DedeCMS的SQL注入漏洞，得到管理员账号，破解出密码，查找后台，进行批量登录（我们团队在疑惑是破解了验证码还是人工登录），然后在后台批量生成静态html文件，这些文件就是上面那个“轩辕传奇”页面了。

我们发现有些被这样挂马的网站，居然一次性生成了80,452个页面，2G多的大小……太壮观了。

如何解决这起网马植入事件？

站长朋友们，如果你使用的是DedeCMS，请执行如下步骤：

1. 及时检查自己网站是否有异常的静态文件（所在的目录是xycq，轩辕传奇的拼音缩写），如果有，那么请尽快清除；
2. 修改管理员密码；
3. 升级DedeCMS为最新版本；
4. 可以考虑长期使用我们免费的SCANV网站安全中心（www.scanv.com）进行体检，我们能很专业地告诉你漏洞在哪；
5. DedeCMS如此的不安全，如果想更安全，要么每次及时升级程序，关注我们的预警动态，要么直接使用我们的加速乐（www.jiasule.com）进行免费的一键防御；

不好意思，直接打上了我们的软广告，可产品是我们的，我们有足够的信心做好服务，如果产品本身有什么不足，请及时联系我，谢谢。

另外一个广告是我们的加速乐为了更好给站长提供好加速防御服务，也开通了官方微信：加速乐，感兴趣的话，请查找公众账号。

最后，感谢我们安全研究团队的帅哥庞伟为了提供了海量素材:)

----------分割线----------

我们会持续性的进行安全科普，大家有什么问题可以在微信里给我们留言，我们会认真对待每份留言，并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们，我们的微信：网站安全中心/wangzhan_anquan。

科普改变世界，我们一起努力让这个互联网更好更安全吧！

本文由知道创宇安全研究团队-余弦撰写。

请关注我们的官方微信：网站安全中心