DEDECMSは赤色のセキュリティアラートを発動し、セキュリティアライアンスのウェブマスタープラットフォームはアドバイスをするのに忙しかった。

最近、セキュリティ アライアンス ウェブマスター プラットフォームの「エキスパート脆弱性修復センター」には、多くのウェブマスターから、自分の Web サイトがハッキングされ、「90sec.php」という Web サイト トロイの木馬ファイルが配置されているという助けを求めるメッセージが寄せられました。さらに奇妙で気が滅入るのは、ファイルが削除された後、翌日には再び現れたことです。 Security Alliance Webmaster Platform の脆弱性修復専門家の分析によると、これらのウェブマスターには共通点が 1 つあります。それは、全員が同じ Web サイト構築ソフトウェア「DedeCMS」を使用していることです。セキュリティ専門家によると、DedeCMSはPHP+MySQLをベースに開発された、複数のサーバープラットフォームをサポートする技術で、2004年にリリースされて以来、そのシンプルさ、堅牢性、柔軟性、オープンソースを理由に、国内CMS市場の大半を占めてきました。現在、DedeCMSを使用している、またはDedeCMSコアをベースに開発されたサイトは35万を超え、製品のインストール量は95万に達しています。これは中国で最も一般的なウェブサイト構築プログラムの 1 つであり、「ハッカー」の注目の対象でもあります。Security Alliance Webmaster Platform の主要なコア技術サポートである SCANV Website Security Center のチーム メンバーは、DedeCMS のセキュリティ上の脆弱性を何度も発見し、警告し、報告してきました。

2013 年 6 月 7 日、SCANV Web サイト セキュリティ センターは、DedeCMS に「高リスク」の重大なセキュリティ脆弱性があり、この脆弱性がこの記事の前半で述べたように多くの Web マスターが助けを求めた「犯人」であるという「赤色のセキュリティ警告」 () を発令しました。

この脆弱性とその悪用方法の詳細は、6 月 7 日に有名なネットワーク セキュリティ コミュニティ t00ls フォーラムで「imspider」という別の脆弱性研究者によって初めて公開されました。脆弱性が明らかになった後、SCANVウェブサイトセキュリティセンターは緊急に対応し、「赤色のセキュリティ警告」を発令し、一時的な解決策を立ち上げ、DedeCMSの担当者に積極的に連絡を取りました。担当者は同日、関連する脆弱性のアップグレードをリリースしました。しかし、DedeCMS のユーザー数が膨大であるため、多くのウェブマスターはセキュリティ意識が不足しており、更新されたセキュリティ パッチをタイムリーにインストールできません。また、DedeCMS をベースに二次開発を行うユーザーの多くは、互換性の問題によりセキュリティ パッチのインストールを拒否しています。これらにより、この脆弱性による被害は永続的なものとなり、現在でも多数の Web サイト ユーザーがこの脆弱性の影響を受けています。

一方、ハッカーたちはこの「デブ肉」のような脆弱性を以前から狙っていた。国内の著名なCDNクラウドセキュリティサービスプロバイダーであるAcceleratorの分析によると、脆弱性が露呈した後、6月7日に露呈する以前から「ハッカー」が脆弱性を悪用していたことが判明した。最も古いログ記録は2012年12月27日だった。当時は悪用方法が限られていただけで、大規模なブラックサイト行為はなかった。この脆弱性の詳細が公開された後、さまざまな自動化された攻撃ツールが登場し、このような攻撃はより「シンプル」、「高速」、「直接的」になりました。攻撃者はさまざまな検索エンジンと連携して、DedeCMSを使用してWebサイトに一括侵入し、その悪用方法はより「暴力的」になり、WebサイトにWebサイトトロイの木馬（前述の「90sec.php」など）を直接書き込みます。

以前ウェブマスターが報告した「ウェブサイト上のトロイの木馬ファイルが削除された翌日に再び現れた」という奇妙な現象は、この脆弱性を悪用する方法に関係しています。攻撃者はこの脆弱性を利用してデータベースを直接制御し、データベース内のデータ内容を改ざんすることができます。次に、攻撃者はこの脆弱性を利用してデータベース内のデータフィールドに悪意のあるPHPコードを書き込み、次にDedeCMSを使用してこのフィールドのデータを処理し、データベースに挿入された悪意のあるPHPコードを実行します。これにより、最終的にターゲットウェブサイトにトロイの木馬ファイルが書き込まれ、ウェブサイトが完全に制御されます。そのため、ウェブマスターがウェブサイト上のトロイの木馬ファイルを削除しても、データベース内のコンテンツは削除されませんでした。そのため、DedeCMS が悪意のあるコードが入力されたフィールドのデータを処理すると、削除されたウェブサイトのトロイの木馬ファイルが再び現れました。これが、この脆弱性を悪用する際の特殊性です。インターネット ネットワーク セキュリティ会社がリリースした「Web サイト バックドア検出」を含むさまざまな Web サイト トロイの木馬スキャン ソフトウェアは、基本的にデータベース内の悪意のあるコードのスキャンをサポートしていません。

この脆弱性の特殊性と大きな影響を考慮して、Security Alliance Webmaster Platform は DedeCMS Web マスター向けに「DedeCMS 脆弱性バックドア キラー ツール」をカスタマイズしました。このツールはダウンロードして Dedecms ルート ディレクトリに配置し、実行するだけです。このツールは「ワンクリックでスキャン」して、データベース内の脆弱性、Web サイトのトロイの木馬、悪意のあるコードを検出し、削除します。

特殊殺害ツールのダウンロードリンク:

この記事は、ネットワーク シャープ ナイフの元の投稿アドレスから引用したものです。

原題: DEDECMS が赤色のセキュリティ警告を発令、セキュリティアライアンスのウェブマスタープラットフォームはアドバイスの提供に忙しい

キーワード: DEDECMS、90sec.php、脆弱性キラー、ウェブマスター、ウェブサイト、ウェブサイトプロモーション、収益化