2013年6月�,DedeCMS的/plus/download.php文件被曝光存在高危變量覆蓋漏洞,導(dǎo)致使用了DedeCMS的網(wǎng)站能夠很輕易地被黑客被種植Webshell(注:Webshell是一種網(wǎng)站后門程序����,可用來(lái)控制服務(wù)器)。隨后�����,大批的地下黑客制作了一套完整的自動(dòng)化攻擊程序,對(duì)整個(gè)互聯(lián)網(wǎng)的網(wǎng)站進(jìn)行撒網(wǎng)式攻擊,程序會(huì)自動(dòng)提交攻擊代碼��,然后判斷Webshell是否被成功植入�,從加速樂(lè)中的數(shù)據(jù)分析顯示利用該漏洞上傳的webshell主要為以下路徑:
/plus/90sec.php #來(lái)自于90sec安全小組。
/plus/e7xue.php #來(lái)自于緣分技術(shù)論壇
/plus/sfmb.php #未知?本文即追蹤此后門。
經(jīng)過(guò)知道創(chuàng)宇加速樂(lè)安全研究人員分析發(fā)現(xiàn)這些黑客攻擊來(lái)自于全國(guó)各地以及國(guó)外的僵尸網(wǎng)絡(luò)IP��,源頭較為復(fù)雜��。在經(jīng)過(guò)一段時(shí)間的追蹤后�,2014年7月,加速樂(lè)成功定位到一個(gè)利用該漏洞實(shí)施大規(guī)模攻擊的黑客團(tuán)伙(即后文提到的sfmb)�����。
據(jù)了解自從漏洞被曝光后��,加速樂(lè)每天都要攔截針對(duì)該漏洞的掃描幾十萬(wàn)次����,每天有上萬(wàn)個(gè)網(wǎng)站受到掃描��,截止今年7月份,針對(duì)該漏洞的攻擊一直毫不減退��。由于該漏洞而被黑客成功攻擊的網(wǎng)站不計(jì)其數(shù)��,僅去年年底,加速樂(lè)就接到超過(guò)3600個(gè)左右網(wǎng)站因此被黑客入侵而尋求加速樂(lè)保護(hù)的案例��。
結(jié)合安全聯(lián)盟站長(zhǎng)平臺(tái)的漏洞檢測(cè)數(shù)據(jù)顯示���,凡是使用過(guò)DedeCMS的網(wǎng)站����,有60%以上的都被成功攻擊����,而這些網(wǎng)站在使用加速樂(lè)進(jìn)行保護(hù)后��,加速樂(lè)平臺(tái)通過(guò)攔截�����、定位對(duì)這一黑客攻擊行為進(jìn)行了慎密梳理�。
加速樂(lè)攔截這一攻擊的樣例
據(jù)知道創(chuàng)宇加速樂(lè)安全專家介紹在加速樂(lè)整個(gè)嚴(yán)密的分析過(guò)程中�����,發(fā)現(xiàn)了/plus/sfmb.php這個(gè)Webshell非常特殊��,涉及的漏洞都是利用代碼�����、后門經(jīng)過(guò)高度定制形成的���。加速樂(lè)安全團(tuán)隊(duì)經(jīng)過(guò)追蹤發(fā)現(xiàn)該黑客攻擊有如下特征:
1. 攻擊源頭涉及數(shù)百個(gè)IP地址�,覆蓋全國(guó)各地����,其中福建�、浙江��、廣東�、湖南�、江西、江蘇等地的僵尸IP最多���,從攻擊覆蓋地圖上可以看出��,黑客大多選擇的是較發(fā)達(dá)省市��,利于掩蓋身份;
藍(lán)色部分為主要攻擊來(lái)源
2. 根據(jù)加速樂(lè)安全研究團(tuán)隊(duì)分析及在部分網(wǎng)站管理員的配合下發(fā)現(xiàn)“sfmb”這個(gè)字符串頻繁出現(xiàn)在Webshell路徑以及Webshell密碼中�,加速樂(lè)安全專家初步猜測(cè)這可能和黑客的ID有一定關(guān)系,于是繼續(xù)對(duì)這字符串進(jìn)行深入分析。
a. 通過(guò)百度搜索��,找到一些含有“sfmb”字符���,被掛了黑鏈的網(wǎng)站:
b. 被插入的代碼中有一段HTML注釋代碼“”��,“sfmb”是黑客ID或者組織代號(hào)基本可以確定���。
c. 隨后加速樂(lè)安全專家在知名威客網(wǎng)站“豬八戒“上找到此ID的資料����,根據(jù)其在豬八戒上的懸賞記錄來(lái)看��,涉及到花錢買DedeCMS 0day�����、定制“中國(guó)菜刀”類似工具(一種網(wǎng)站后門)����、批量操作DedeCMS網(wǎng)站等等。到這里����,已可以確認(rèn)基本確定攻擊的源頭就是此人了����,其已發(fā)展到重金請(qǐng)人的團(tuán)伙作案階段���。
百度收錄顯示該ID重金請(qǐng)人制作黑客工具
瀏覽豬八戒網(wǎng)站時(shí)�,該黑客已經(jīng)修改了id為hkesg
d. 在確定DedeCMS 0day僵尸整套完整的程序是他花錢請(qǐng)人做的以后�����,通過(guò)豬八戒的交易記錄,發(fā)現(xiàn)其在求助信息中留有個(gè)人QQ����,找到他的QQ后,一切謎底都解開(kāi)了��。其標(biāo)識(shí)的所在地為國(guó)外�����,或許為虛擬信息�����,也有可能確實(shí)身在國(guó)外����。
還有另一個(gè)QQ
通過(guò)對(duì)此次黑客攻擊的追蹤發(fā)現(xiàn),黑客攻擊已從單兵作戰(zhàn)發(fā)展到了重金雇傭他人協(xié)助作案發(fā)展成了團(tuán)伙作案����,批量入侵的地下黑產(chǎn)模式。鑒于dedecms的普及性�,危害性巨大,值得網(wǎng)站運(yùn)營(yíng)方重視。目前加速樂(lè)已經(jīng)將該黑客團(tuán)伙的情況上報(bào)國(guó)家相關(guān)部門�����。
