从DedeCms被大量入侵揭密sfmb黑客团伙

2013年6月,DedeCMS的/plus/download.php文件被曝光存在高危变量覆盖漏洞,导致使用了DedeCMS的网站能够很轻易地被黑客被种植Webshell(注:Webshell是一种网站后门程序,可用来控制服务器)。随后,大批的地下黑客制作了一套完整的自动化攻击程序,对整个互联

2013年6月,DedeCMS的/plus/download.php文件被曝光存在高危变量覆盖漏洞,导致使用了DedeCMS的网站能够很轻易地被黑客被种植Webshell(注:Webshell是一种网站后门程序,可用来控制服务器)。随后,大批的地下黑客制作了一套完整的自动化攻击程序,对整个互联网的网站进行撒网式攻击,程序会自动提交攻击代码,然后判断Webshell是否被成功植入,从加速乐中的数据分析显示利用该漏洞上传的webshell主要为以下路径:

  /plus/90sec.php #来自于90sec安全小组。

  /plus/e7xue.php #来自于缘分技术论坛

  /plus/sfmb.php #未知?本文即追踪此后门。

  经过知道创宇加速乐安全研究人员分析发现这些黑客攻击来自于全国各地以及国外的僵尸网络IP,源头较为复杂。在经过一段时间的追踪后,2014年7月,加速乐成功定位到一个利用该漏洞实施大规模攻击的黑客团伙(即后文提到的sfmb)。

  据了解自从漏洞被曝光后,加速乐每天都要拦截针对该漏洞的扫描几十万次,每天有上万个网站受到扫描,截止今年7月份,针对该漏洞的攻击一直毫不减退。由于该漏洞而被黑客成功攻击的网站不计其数,仅去年年底,加速乐就接到超过3600个左右网站因此被黑客入侵而寻求加速乐保护的案例。

  结合安全联盟站长平台的漏洞检测数据显示,凡是使用过DedeCMS的网站,有60%以上的都被成功攻击,而这些网站在使用加速乐进行保护后,加速乐平台通过拦截、定位对这一黑客攻击行为进行了慎密梳理。

  

 

  加速乐拦截这一攻击的样例

  据知道创宇加速乐安全专家介绍在加速乐整个严密的分析过程中,发现了/plus/sfmb.php这个Webshell非常特殊,涉及的漏洞都是利用代码、后门经过高度定制形成的。加速乐安全团队经过追踪发现该黑客攻击有如下特征:

  1. 攻击源头涉及数百个IP地址,覆盖全国各地,其中福建、浙江、广东、湖南、江西、江苏等地的僵尸IP最多,从攻击覆盖地图上可以看出,黑客大多选择的是较发达省市,利于掩盖身份;

  

 

  蓝色部分为主要攻击来源

  2. 根据加速乐安全研究团队分析及在部分网站管理员的配合下发现“sfmb”这个字符串频繁出现在Webshell路径以及Webshell密码中,加速乐安全专家初步猜测这可能和黑客的ID有一定关系,于是继续对这字符串进行深入分析。

  a. 通过百度搜索,找到一些含有“sfmb”字符,被挂了黑链的网站:

  

 

  b. 被插入的代码中有一段HTML注释代码“”,“sfmb”是黑客ID或者组织代号基本可以确定。

  

 

  c. 随后加速乐安全专家在知名威客网站“猪八戒“上找到此ID的资料,根据其在猪八戒上的悬赏记录来看,涉及到花钱买DedeCMS 0day、定制“中国菜刀”类似工具(一种网站后门)、批量操作DedeCMS网站等等。到这里,已可以确认基本确定攻击的源头就是此人了,其已发展到重金请人的团伙作案阶段。

  

 

  百度收录显示该ID重金请人制作黑客工具

  

 

  浏览猪八戒网站时,该黑客已经修改了id为hkesg

  d. 在确定DedeCMS 0day僵尸整套完整的程序是他花钱请人做的以后,通过猪八戒的交易记录,发现其在求助信息中留有个人QQ,找到他的QQ后,一切谜底都解开了。其标识的所在地为国外,或许为虚拟信息,也有可能确实身在国外。

  

 

  e.

  

 

  还有另一个QQ

  通过对此次黑客攻击的追踪发现,黑客攻击已从单兵作战发展到了重金雇佣他人协助作案发展成了团伙作案,批量入侵的地下黑产模式。鉴于dedecms的普及性,危害性巨大,值得网站运营方重视。目前加速乐已经将该黑客团伙的情况上报国家相关部门。

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

dede织梦cms系统的程序存在漏洞,黑客攻击方法层出不穷,导致网站经常被黑,被百度安全中心等拦截,影响排名和流量,让站长非常头疼,下面总结一些防止dede织梦cms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。 1.安装时数据库的前
dedecms有很多漏洞都是出自plus文件夹下的文件,网上有很多挂马工具都有自动扫描网站PLUS目录功能用来匹配漏洞文件,因此为了避免被漏洞入侵,我们可以重命名PLUS文件夹,并将里面无用的文件都清理干净,DEDECMS重命名PLUS目录需要改动对应关系,方法如下 打
对刚学习dedecms织梦的同学,当在本地调试好网站上传到服务器后,在没有采取防护的情况下,网站很容易被挂马,挂马后,网站首页会被篡改,或者网站被恶意跳转到别的不相关的网站上。所以为了避免这种情况的发生,小编整理了几条织梦网站仿挂马的建议,希望能
最近很多建站朋友发现织梦DedeCMS安装在阿里云服务器后会在阿里云后台提示有一个dedecms任意文件上传漏洞,引起的文件是织梦安装目录下的/include/dialog/select_soft_post.php文件。 原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉
经常听一些身边的朋友说,织梦的安全性太差了,网站刚上线就被黑了。其实我要说的是,并不是织梦的安全性差,大部分被黑的网站很大一部分是自身没有做好安全的设置。就比如之前有一些客户,跟版网小编帮客户装好网站后,还特意提示要及时修改账户密码,客户
1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 http://127.0.0.1/dedecms5.7/member/reg_new.php?dopost=regbaseamp;step=1amp;mtype=%B8%F6%C8%CBamp;mtype=%B8%F6%C8%CBamp;userid=123asd123amp;uname=12asd13123amp;userpwd=123123amp;userpwdok=