導讀:DEDE技術DEDE技術2013年6月，DedeCMS的/plus/download.php文件被曝光存在高危變量覆蓋漏洞，導致使用了DedeCMS的網站能夠很輕易地被黑客被種植Web織夢文章模板織夢模板免費。

2013年6月，DedeCMS的/plus/download.php文件被曝光存在高危變量覆蓋漏洞，導致使用了DedeCMS的網站能夠很輕易地被黑客被種植Webshell(注：Webshell是一種網站后門程序，可用來控制服務器)。隨后，大批的地下黑客制作了一套完整的自動化攻擊程序，對整個互聯網的網站進行撒網式攻擊，程序會自動提交攻擊代碼，然后判斷Webshell是否被成功植入，從加速樂中的數據分析顯示利用該漏洞上傳的webshell主要為以下路徑：

　　/plus/90sec.php #來自于90sec安全小組。

　　/plus/e7xue.php #來自于緣分技術論壇

　　/plus/sfmb.php #未知?本文即追蹤此后門。

　　經過知道創宇加速樂安全研究人員分析發現這些黑客攻擊來自于全國各地以及國外的僵尸網絡IP，源頭較為復雜。在經過一段時間的追蹤后，2014年7月，加速樂成功定位到一個利用該漏洞實施大規模攻擊dede模板下載的黑客團伙(即后文提到的sfmb)。

　　據了解自從漏洞被曝光后，加速樂每天都要攔截針對該漏洞的掃描幾十萬次，每天有上萬個網站受到掃描，截止今年7月份，針對該漏洞的攻擊一直毫不減退。由于該漏洞而被黑客成功攻擊的網站不計其數，僅去年年底，加速樂就接到超過3600個左右網站因此被黑客入侵而尋求加速樂保護的案例。

　　結合安全聯盟站長平臺的漏洞檢測數據顯示，凡是使用過DedeCMS的網站，有60%以上的都被成功攻擊，而這些網站在使用加速樂進行保護后，加速樂平臺通過攔截、定位對這一黑客攻擊行為進行了慎密梳理。

　　加速樂攔截這一攻擊的樣例

　　據知道創宇加速樂安全專家介紹在加速樂整個嚴密的分析過程中，發現了/plus/sfmb.php這個Webshell非常特殊，涉及的漏洞都是利用代碼、后門經過高度定制dede商城模板形成的。加速樂安織夢模板下載全團隊經過追蹤發現該黑客攻擊有如下特征：

　　1. 攻擊源頭涉及數百個IP地址，覆蓋全國各地，其中福建、浙江、廣東、湖南、江西、江蘇等地的僵尸IP最多，從攻擊覆蓋地圖上可以看出，黑客大多選擇的是較發達省市，利于掩蓋身份;

　　藍色部分為主要攻擊來源

關鍵詞標簽: DEDE技術 團伙 揭密