2013年6月,DedeCMS的/plus/download.php文件被曝光存在高危變量覆蓋漏洞,導致使用了DedeCMS的網(wǎng)站能夠很輕易地被黑客被種植Webshell(注:Webshell是一種網(wǎng)站后門程序,可用來控制服務器)。隨后,大批的地下黑客制作了一套完整的自動化攻擊程序,對整個互聯(lián)網(wǎng)的網(wǎng)站進行撒網(wǎng)式攻擊,程序會自動提交攻擊代碼,然后判斷Webshell是否被成功植入,從加速樂中的數(shù)據(jù)分析顯示利用該漏洞上傳的webshell主要為以下路徑:
/plus/90sec.php #來自于90sec安全小組。
/plus/e7xue.php #來自于緣分技術(shù)論壇
/plus/sfmb.php #未知?本文即追蹤此后門。
經(jīng)過知道創(chuàng)宇加速樂安全研究人員分析發(fā)現(xiàn)這些黑客攻擊來自于全國各地以及國外的僵尸網(wǎng)絡(luò)IP,源頭較為復雜。在經(jīng)過一段時間的追蹤后,2014年7月,加速樂成功定位到一個利用該漏洞實施大規(guī)模攻擊的黑客團伙(即后文提到的sfmb)。
據(jù)了解自從漏洞被曝光后,加速樂每天都要攔截針對該漏洞的掃描幾十萬次,每天有上萬個網(wǎng)站受到掃描,截止今年7月份,針對該漏洞的攻擊一直毫不減退。由于該漏洞而被黑客成功攻擊的網(wǎng)站不計其數(shù),僅去年年底,加速樂就接到超過3600個左右網(wǎng)站因此被黑客入侵而尋求加速樂保護的案例。
結(jié)合安全聯(lián)盟站長平臺的漏洞檢測數(shù)據(jù)顯示,凡是使用過DedeCMS的網(wǎng)站,有60%以上的都被成功攻擊,而這些網(wǎng)站在使用加速樂進行保護后,加速樂平臺通過攔截、定位對這一黑客攻擊行為進行了慎密梳理。
加速樂攔截這一攻擊的樣例
據(jù)知道創(chuàng)宇加速樂安全專家介紹在加速樂整個嚴密的分析過程中,發(fā)現(xiàn)了/plus/sfmb.php這個Webshell非常特殊,涉及的漏洞都是利用代碼、后門經(jīng)過高度定制形成的。加速樂安全團隊經(jīng)過追蹤發(fā)現(xiàn)該黑客攻擊有如下特征:
1. 攻擊源頭涉及數(shù)百個IP地址,覆蓋全國各地,其中福建、浙江、廣東、湖南、江西、江蘇等地的僵尸IP最多,從攻擊覆蓋地圖上可以看出,黑客大多選擇的是較發(fā)達省市,利于掩蓋身份;
藍色部分為主要攻擊來源
2. 根據(jù)加速樂安全研究團隊分析及在部分網(wǎng)站管理員的配合下發(fā)現(xiàn)“sfmb”這個字符串頻繁出現(xiàn)在Webshell路徑以及Webshell密碼中,加速樂安全專家初步猜測這可能和黑客的ID有一定關(guān)系,于是繼續(xù)對這字符串進行深入分析。
a. 通過百度搜索,找到一些含有“sfmb”字符,被掛了黑鏈的網(wǎng)站:
b. 被插入的代碼中有一段HTML注釋代碼“”,“sfmb”是黑客ID或者組織代號基本可以確定。
c. 隨后加速樂安全專家在知名威客網(wǎng)站“豬八戒“上找到此ID的資料,根據(jù)其在豬八戒上的懸賞記錄來看,涉及到花錢買DedeCMS 0day、定制“中國菜刀”類似工具(一種網(wǎng)站后門)、批量操作DedeCMS網(wǎng)站等等。到這里,已可以確認基本確定攻擊的源頭就是此人了,其已發(fā)展到重金請人的團伙作案階段。
百度收錄顯示該ID重金請人制作黑客工具
瀏覽豬八戒網(wǎng)站時,該黑客已經(jīng)修改了id為hkesg
d. 在確定DedeCMS 0day僵尸整套完整的程序是他花錢請人做的以后,通過豬八戒的交易記錄,發(fā)現(xiàn)其在求助信息中留有個人Q Q,找到他的Q Q后,一切謎底都解開了。其標識的所在地為國外,或許為虛擬信息,也有可能確實身在國外。
e.
還有另一個Q Q
通過對此次黑客攻擊的追蹤發(fā)現(xiàn),黑客攻擊已從單兵作戰(zhàn)發(fā)展到了重金雇傭他人協(xié)助作案發(fā)展成了團伙作案,批量入侵的地下黑產(chǎn)模式。鑒于dedecms的普及性,危害性巨大,值得網(wǎng)站運營方重視。目前加速樂已經(jīng)將該黑客團伙的情況上報國家相關(guān)部門。
京公網(wǎng)安備 11010502049343號