2013年6月,DedeCMS的/plus/download.php文件被曝光存在高危變量覆蓋漏洞,導致使用了DedeCMS的網站能夠很輕易地被黑客被種植Webshell(注:Webshell是一種網站后門程序,可用來控制服務器)。隨后,大批的地下黑客制作了一套完整的自動化攻擊程序,對整個互聯網的網站進行撒網式攻擊,程序會自動提交攻擊代碼,然后判斷Webshell是否被成功植入,從加速樂中的數據分析顯示利用該漏洞上傳的webshell主要為以下路徑:
/plus/90sec.php #來自于90sec安全小組。
/plus/e7xue.php #來自于緣分技術論壇
/plus/sfmb.php #未知?本文即追蹤此后門。
經過知道創宇加速樂安全研究人員分析發現這些黑客攻擊來自于全國各地以及國外的僵尸網絡IP,源頭較為復雜。在經過一段時間的追蹤后,2014年7月,加速樂成功定位到一個利用該漏洞實施大規模攻擊的黑客團伙(即后文提到的sfmb)。
據了解自從漏洞被曝光后,加速樂每天都要攔截針對該漏洞的掃描幾十萬次,每天有上萬個網站受到掃描,截止今年7月份,針對該漏洞的攻擊一直毫不減退。由于該漏洞而被黑客成功攻擊的網站不計其數,僅去年年底,加速樂就接到超過3600個左右網站因此被黑客入侵而尋求加速樂保護的案例。
結合安全聯盟站長平臺的漏洞檢測數據顯示,凡是使用過DedeCMS的網站,有60%以上的都被成功攻擊,而這些網站在使用加速樂進行保護后,加速樂平臺通過攔截、定位對這一黑客攻擊行為進行了慎密梳理。
加速樂攔截這一攻擊的樣例
據知道創宇加速樂安全專家介紹在加速樂整個嚴密的分析過程中,發現了/plus/sfmb.php這個Webshell非常特殊,涉及的漏洞都是利用代碼、后門經過高度定制形成的。加速樂安全團隊經過追蹤發現該黑客攻擊有如下特征:
1. 攻擊源頭涉及數百個IP地址,覆蓋全國各地,其中福建、浙江、廣東、湖南、江西、江蘇等地的僵尸IP最多,從攻擊覆蓋地圖上可以看出,黑客大多選擇的是較發達省市,利于掩蓋身份;
藍色部分為主要攻擊來源
2. 根據加速樂安全研究團隊分析及在部分網站管理員的配合下發現“sfmb”這個字符串頻繁出現在Webshell路徑以及Webshell密碼中,加速樂安全專家初步猜測這可能和黑客的ID有一定關系,于是繼續對這字符串進行深入分析。
a. 通過百度搜索,找到一些含有“sfmb”字符,被掛了黑鏈的網站:
b. 被插入的代碼中有一段HTML注釋代碼“<!—BY:SFMB-->”,“sfmb”是黑客ID或者組織代號基本可以確定。
c. 隨后加速樂安全專家在知名威客網站“豬八戒“上找到此ID的資料,根據其在豬八戒上的懸賞記錄來看,涉及到花錢買DedeCMS 0day、定制“中國菜刀”類似工具(一種網站后門)、批量操作DedeCMS網站等等。到這里,已可以確認基本確定攻擊的源頭就是此人了,其已發展到重金請人的團伙作案階段。
百度收錄顯示該ID重金請人制作黑客工具
瀏覽豬八戒網站時,該黑客已經修改了id為hkesg
d. 在確定DedeCMS 0day僵尸整套完整的程序是他花錢請人做的以后,通過豬八戒的交易記錄,發現其在求助信息中留有個人QQ,找到他的QQ后,一切謎底都解開了。其標識的所在地為國外,或許為虛擬信息,也有可能確實身在國外。
還有另一個QQ
通過對此次黑客攻擊的追蹤發現,黑客攻擊已從單兵作戰發展到了重金雇傭他人協助作案發展成了團伙作案,批量入侵的地下黑產模式。鑒于dedecms的普及性,危害性巨大,值得網站運營方重視。目前加速樂已經將該黑客團伙的情況上報國家相關部門。
(新聞稿 2014-08-08)