|
|
|
DEDECMS引发红色安全警报,安全联盟站长平台忙支招
近期,安全联盟站长平台专家漏洞修复中心收到多名站长求救的信息称:他们的网站被黑客入侵并被放置一个文件名为90se.php的网站木马文件,更加奇怪郁闷的是这个文件删除后,第二天又重新出现了。安全联盟站长平台的漏洞修复专家分析分析,这些站长有一个共同的特点就是他们都使用了同一套建站软件DeeCMS。据安全专家介绍,DeeCMS是一套基于PHP+MySQL的技术开发,支持多种服务器平台,从2004年发布开始,就以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过35万个站点正在使用DeeCMS或基于DeeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是黑客密切关注的对象!安全联盟站长平台主要核心技术支撑SCANV网站安全中心团队成员曾多次发现、预警、并报告DeeCMS的安全漏洞。
就在2013年6月7日,SCANV网站安全中心曾发布红色安全警报(http://s.jiasule.om/threa-3848-1-1.html)预警DeeCMS存在高危的严重安全漏洞,而这个漏洞就是本文前面提到多名站长求救的罪魁祸首!
这个漏洞细节及利用,最早是又一名为imspier的漏洞研究者在著名网络安全社区t00ls论坛于6月7日曝光的。漏洞曝光后SCANV网站安全中心立紧急响应,发布红色安全警报、推出里临时解决方案并积极联系了DeeCMS官方,当天官方就发布了相关漏洞升级。但是由于DeeCMS用户量巨大、很多的站长安全意识不足没有及时安装更新的安全补丁,再加上大量的基于DeeCMS进行二次开发用户考虑到兼容性问题而拒绝安装安全补丁。这些也就导致了这个漏洞得持久的危害,目前还有大量的网站用户受到这个漏洞的影响。
在另一方面,黑客也早早的盯上了这块肥肉般的漏洞,据国内著名CDN云安全服务提供商加速乐就漏洞曝光后分析发现,这个漏洞早在6月7日被曝光前就有黑客利用该漏洞,最早日志纪录显示为2012年12月27日,只是当时利用方式的限制,而没有出现大规模黑站行为。而这个漏洞细节被公开后,出现了各种各样的自动化攻击的工具,这样的攻击变得更加简单、快速、直接,攻击者配合各个搜素引擎批量入侵使用DeeCMS的网站,而利用方式更加暴力,直接在网站上写入网站木马(如前文提到的90se.php)。
至于之前站长反馈的网站木马文件删除后,第二天又重新出现了这个奇怪现象,则与这个漏洞的利用方式有关,攻击者可以通过这个漏洞直接控制数据库,篡改数据库里的数据内容,那么攻击者利用这个漏洞,把一段恶意PHP代码写入数据库的某个数据字段内,再利用DeeCMS对这个字段里的数据的处理时会执行插入到数据库里的恶意PHP代码,最终导致在目标网站上写入网站木马文件,完全控制这个网站。所以当站长在删除网站上的木马文件时,并没有删除数据库内的内容,所以当DeeCMS对这个被插入恶意代码的字段里的数据处理时,再次出现了被删除了的网站木马文件。也就是这个漏洞利用的特殊性,包括某互联网网络安全公司推出的网站后门查杀在内的各种网站木马扫瞄软件基本都不支持数据库里的恶意代码是扫瞄。
针对这一漏洞的特殊性及巨大的影响,安全联盟站长平台为DeeCMS的站长量身打造一个DeeCMS漏洞后门专杀工具,该工具只需下载放置到Deems根目录下运行后,可一键扫瞄查找漏洞、网站木马及数据库里的恶意代码并清除干净。
专杀工具下载地址:http://zhanzhang.anquan.org/stati/ownloa/ee_killer.zip
使用交流:http://s.jiasule.om/threa-4977-1-1.html
文章来自 网络尖刀 原帖地址:http://www.mang.om/artile-19174-1.html
本文由errt提供 江西哪里有气*枪 58963173.ga
|
|
发表于 2014-2-18 15:47:23