freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

来自国内的大规模挂马攻击,目标DedeCMS
2013-04-02 11:30:45

可能这个预警来了迟一些,不过我们非常想表明:DedeCMS真是一个不安全的CMS,据我们安全研究团队的统计,DedeCMS是国内使用最为广泛的CMS(包括那些大品牌网站),但安全漏洞频发,官方响应迟钝,导致最近的好几起大规模攻击事件都和它有关。

比如上次说的《[黑产科普]最近大规模的QQ空间钓鱼攻击》,还有这次说的挂马事件。


这次传播的网马是“CVE2012-1889(MS12-043)”,利用IE6/7/8的堆喷方式在本地执行任意命令,网马以“轩辕传奇”游戏为关键词进行传播,如下页面:

这个页面开头的部分源码如下:

有一段经典的JS判断:如果来自百度、Google等搜索引擎,就直接跳转到网马攻击代码页面。

否则直接执行下面嵌入的js文件(不过居然在<script>里嵌入html文件,低级的错误……)。

这个网马利用的是DedeCMS的SQL注入漏洞,得到管理员账号,破解出密码,查找后台,进行批量登录(我们团队在疑惑是破解了验证码还是人工登录),然后在后台批量生成静态html文件,这些文件就是上面那个“轩辕传奇”页面了。

我们发现有些被这样挂马的网站,居然一次性生成了80,452个页面,2G多的大小……太壮观了。


如何解决这起网马植入事件?

站长朋友们,如果你使用的是DedeCMS,请执行如下步骤:


1,及时检查自己网站是否有异常的静态文件(所在的目录是xycq,轩辕传奇的拼音缩写),如果有,那么请尽快清除;
2,修改管理员密码;
3,升级DedeCMS为最新版本;
4,使用第三方的网站防护服务。


最后,感谢我们安全研究团队的帅哥庞伟为了提供了海量素材:)


----------回答几个问题 - 分割线----------

Q:非常感谢文章,作为一名信息安全本科生,能不能有一些指导建议呢,目前学习的很茫然。 
A:圈子很重要,微博上多关注你感兴趣的、这个圈子里的人物,他们的交谈、转发会暴露出更多圈子里的人物,逐一关注,他们的只言片语、分享等很多时候能给你带来些灵感。

同时可以多互动,大家会逐渐认可你。我感觉这是最好的入门方式。


Q:注入的sql是怎样解密的,后面的机制是什么样的,小白请教下。

A:这个问题是指我上篇发的那篇文章《工具党:东欧某贷款公司的攻击》,里面有一段SQL语句,16进制解码下就知道,推荐个工具:http://tools88.com/safe/MonyerEn.php,之后的机制请百度SQL Server语法……


----------分割线----------


如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan。

科普改变世界,我们一起努力让这个互联网更好更安全吧!

本文由知道创宇安全研究团队-余弦撰写。

本文作者:, 转载请注明来自FreeBuf.COM

# 安全科普 # 挂马 # dedecms
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑