近期，安全聯盟站(zhàn)長平台“專家漏洞修複中心”收到多名站(zhàn)長求救的信息稱：他(tā)們的網站(zhàn)被黑(hēi)客入侵并被放(fàng)置一個文件(jiàn)名爲“90sec.php”的網站(zhàn)木馬文件(jiàn)，更加奇怪郁悶的是這個文件(jiàn)删除後，第二天又重新出現了。安全聯盟站(zhàn)長平台的漏洞修複專家分(fēn)析分(fēn)析，這些站(zhàn)長有一個共同的特點就(jiù)是他(tā)們都(dōu)使用了同一套建站(zhàn)軟件(jiàn)“DedeCMS”。

　　據安全專家介紹，DedeCMS是一套基于PHP+MySQL的技術開發，支持多種服務器平台，從2004年(nián)發布開始，就(jiù)以簡單、健壯、靈活、開源幾大(dà)特點占領了國内 CMS的大(dà)部份市場，目前已經有超過35萬個站(zhàn)點正在使用DedeCMS或基于DedeCMS核心開發，産品安裝量達到95萬。是目前國内常見的建站(zhàn)程 序之一，也是“黑(hēi)客”密切關注的對象!安全聯盟站(zhàn)長平台主要核心技術支撐SCANV網站(zhàn)安全中心團隊成員曾多次發現、預警、并報告DedeCMS的安全漏洞。

　　就(jiù)在2013年(nián)6月7日(rì)，SCANV網站(zhàn)安全中心曾發布“紅色安全警報”(http://bbs.jiasule.com/thread-3848-1-1.html)預警DedeCMS存在“高危”的嚴重安全漏洞，而這個漏洞就(jiù)是本文前面提到多名站(zhàn)長求救的“罪魁禍首”!

　　這個漏洞細節及利用，早是又一名爲“imspider”的漏洞研究者在著名網絡安全社區t00ls論壇于6月7日(rì)曝光(guāng)的。漏洞曝光(guāng)後SCANV網站(zhàn)安全中心立緊急響應，發布“紅色安全警報”、推出裏臨時解決方案并積極聯系了DedeCMS官方，當天官方就(jiù)發布了相(xiàng)關漏洞升級。但(dàn)是由于DedeCMS用戶量巨大(dà)、很多的站(zhàn)長安全意識不足沒有及時安裝更新的安全補丁，再加上大(dà)量的基于DedeCMS進行二次開發用戶考慮到兼容性問題而拒絕安裝安全補丁。這些也 就(jiù)導緻了這個漏洞得(de)持久的危害，目前還有大(dà)量的網站(zhàn)用戶受到這個漏洞的影(yǐng)響。

　　在另一方面，黑(hēi)客也早早的盯上了這塊“肥肉”般的漏洞，據國 内著名CDN雲安全服務提供商加速樂就(jiù)漏洞曝光(guāng)後分(fēn)析發現，這個漏洞早在6月7日(rì)被曝光(guāng)前就(jiù)有“黑(hēi)客”利用該漏洞，早日(rì)志紀錄顯示爲2012年(nián)12月 27日(rì)，隻是當時利用方式的限制，而沒有出現大(dà)規模黑(hēi)站(zhàn)行爲。而這個漏洞細節被公開後，出現了各種各樣的自(zì)動化攻擊的工(gōng)具，這樣的攻擊變得(de)更加“簡單”、 “快(kuài)速”、“直接”，攻擊者配合各個搜素引擎批量入侵使用DedeCMS的網站(zhàn)，而利用方式更加“暴力”，直接在網站(zhàn)上寫入網站(zhàn)木馬(如(rú)前文提到的 “90sec.php”)。

　　至于之前站(zhàn)長反饋的“網站(zhàn)木馬文件(jiàn)删除後，第二天又重新出現了”這個奇怪現象，則與這個漏洞的利用方式有關， 攻擊者可(kě)以通過這個漏洞直接控制數據庫，篡改數據庫裏的數據内容，那麽攻擊者利用這個漏洞，把一段惡意PHP代碼寫入數據庫的某個數據字段内，再利用 DedeCMS對這個字段裏的數據的處理(lǐ)時會執行插入到數據庫裏的惡意PHP代碼，終導緻在目标網站(zhàn)上寫入網站(zhàn)木馬文件(jiàn)，完全控制這個網站(zhàn)。所以當站(zhàn)長 在删除網站(zhàn)上的木馬文件(jiàn)時，并沒有删除數據庫内的内容，所以當DedeCMS對這個被插入惡意代碼的字段裏的數據處理(lǐ)時，再次出現了被删除了的網站(zhàn)木馬文件(jiàn)。也就(jiù)是這個漏洞利用的特殊性，包括某互聯網網絡安全公司推出的“網站(zhàn)後門查殺”在内的各種網站(zhàn)木馬掃描軟件(jiàn)基本都(dōu)不支持數據庫裏的惡意代碼是掃描。

　　針對這一漏洞的特殊性及巨大(dà)的影(yǐng)響，安全聯盟站(zhàn)長平台爲DedeCMS的站(zhàn)長量身(shēn)打造一個“DedeCMS漏洞後門專殺工(gōng)具”，該工(gōng)具隻需下載放(fàng)置到Dedecms根目錄下運行後，可(kě)“一鍵掃描”查找漏洞、網站(zhàn)木馬及數據庫裏的惡意代碼并清除幹淨。

　　操作(zuò)過程示例：

　　工(gōng)具下載地址：http://zhanzhang.anquan.org/static/download/dede_killer.zip