导读:DEDE技术DEDE技术2013年6月，DedeCMS的/plus/download.php文件被曝光存在高危变量覆盖漏洞，导致使用了DedeCMS的网站能够很轻易地被黑客被种植Web织梦文章模板织梦模板免费。

2013年6月，DedeCMS的/plus/download.php文件被曝光存在高危变量覆盖漏洞，导致使用了DedeCMS的网站能够很轻易地被黑客被种植Webshell(注：Webshell是一种网站后门程序，可用来控制服务器)。随后，大批的地下黑客制作了一套完整的自动化攻击程序，对整个互联网的网站进行撒网式攻击，程序会自动提交攻击代码，然后判断Webshell是否被成功植入，从加速乐中的数据分析显示利用该漏洞上传的webshell主要为以下路径：

　　/plus/90sec.php #来自于90sec安全小组。

　　/plus/e7xue.php #来自于缘分技术论坛

　　/plus/sfmb.php #未知?本文即追踪此后门。

　　经过知道创宇加速乐安全研究人员分析发现这些黑客攻击来自于全国各地以及国外的僵尸网络IP，源头较为复杂。在经过一段时间的追踪后，2014年7月，加速乐成功定位到一个利用该漏洞实施大规模攻击dede模板下载的黑客团伙(即后文提到的sfmb)。

　　据了解自从漏洞被曝光后，加速乐每天都要拦截针对该漏洞的扫描几十万次，每天有上万个网站受到扫描，截止今年7月份，针对该漏洞的攻击一直毫不减退。由于该漏洞而被黑客成功攻击的网站不计其数，仅去年年底，加速乐就接到超过3600个左右网站因此被黑客入侵而寻求加速乐保护的案例。

　　结合安全联盟站长平台的漏洞检测数据显示，凡是使用过DedeCMS的网站，有60%以上的都被成功攻击，而这些网站在使用加速乐进行保护后，加速乐平台通过拦截、定位对这一黑客攻击行为进行了慎密梳理。

　　加速乐拦截这一攻击的样例

　　据知道创宇加速乐安全专家介绍在加速乐整个严密的分析过程中，发现了/plus/sfmb.php这个Webshell非常特殊，涉及的漏洞都是利用代码、后门经过高度定制dede商城模板形成的。加速乐安织梦模板下载全团队经过追踪发现该黑客攻击有如下特征：

　　1. 攻击源头涉及数百个IP地址，覆盖全国各地，其中福建、浙江、广东、湖南、江西、江苏等地的僵尸IP最多，从攻击覆盖地图上可以看出，黑客大多选择的是较发达省市，利于掩盖身份;

　　蓝色部分为主要攻击来源

关键词标签: DEDE技术 团伙 揭密