[预警]来自国内的大规模挂马攻击,目标DedeCMS
可能这个预警来了迟一些,不过我们非常想表明:DedeCMS真是一个不安全的CMS,据我们安全研究团队的统计,DedeCMS是国内使用最为广泛的CMS(包括那些大品牌网站),但安全漏洞频发,官方响应迟钝,导致最近的好几起大规模攻击事件都和它有关。
比如上次说的《[黑产科普]最近大规模的QQ空间钓鱼攻击》,还有这次说的挂马事件。
这次传播的网马是“CVE2012-1889(MS12-043)”,利用IE6/7/8的堆喷方式在本地执行任意命令,网马以“轩辕传奇”游戏为关键词进行传播,如下页面:
这个页面开头的部分源码如下:
有一段经典的JS判断:如果来自百度、Google等搜索引擎,就直接跳转到网马攻击代码页面。
否则直接执行下面嵌入的js文件(不过居然在<script>里嵌入html文件,低级的错误……)。
这个网马利用的是DedeCMS的SQL注入漏洞,得到管理员账号,破解出密码,查找后台,进行批量登录(我们团队在疑惑是破解了验证码还是人工登录),然后在后台批量生成静态html文件,这些文件就是上面那个“轩辕传奇”页面了。
我们发现有些被这样挂马的网站,居然一次性生成了80,452个页面,2G多的大小……太壮观了。
如何解决这起网马植入事件?
站长朋友们,如果你使用的是DedeCMS,请执行如下步骤:
- 及时检查自己网站是否有异常的静态文件(所在的目录是xycq,轩辕传奇的拼音缩写),如果有,那么请尽快清除;
- 修改管理员密码;
- 升级DedeCMS为最新版本;
- 可以考虑长期使用我们免费的SCANV网站安全中心(www.scanv.com)进行体检,我们能很专业地告诉你漏洞在哪;
- DedeCMS如此的不安全,如果想更安全,要么每次及时升级程序,关注我们的预警动态,要么直接使用我们的加速乐(www.jiasule.com)进行免费的一键防御;
不好意思,直接打上了我们的软广告,可产品是我们的,我们有足够的信心做好服务,如果产品本身有什么不足,请及时联系我,谢谢。
另外一个广告是我们的加速乐为了更好给站长提供好加速防御服务,也开通了官方微信:加速乐,感兴趣的话,请查找公众账号。
最后,感谢我们安全研究团队的帅哥庞伟为了提供了海量素材:)
----------分割线----------
我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan。
科普改变世界,我们一起努力让这个互联网更好更安全吧!
本文由知道创宇安全研究团队-余弦撰写。
请关注我们的官方微信:网站安全中心
5条评论
就认识个ST2~~
123123
alert(‘xss’)
这东西那些黑客都快玩了2年了 你们现在才公布了 – -!
知道创宇还真是一群不懂装懂的货