dedecms织梦挂马被黑首页频繁被篡改后门漏洞清理?最近不少客户反映首页被篡改,登录服务器查看没有被上传异常文件,但是首页生成后,有一段异常且被加密过的代码。更换内核后,还是依然出现,通过研究发现,首页模板被加入了【自定义宏标记】内容,标签为:{dede:mytag typeid='0' name=''/} ,内容为一段异常代码。异常代码如图:
DEDECMS 5.7最新版本,包括之前的5.6、5.5版本都受该漏洞的影响,织梦exploit算是
网站漏洞里较高级别的漏洞了,许多企业网站,个人网站,都用的dedecms开发与设计,2018
年1月份被爆出可以任意修改管理员以及用户的密码漏洞,可导致网站后台被攻击者登陆,进
而上传网站木马来进一步的获取网站的管理权限,修改并篡改网站的首页。
dedecms最新漏洞详情
该漏洞涉及到前台member用户密码可以任意修改,以及任意用户空密码登陆,织梦后台管理员
密码任意修改的漏洞。member前台用户密码修改主要是通过dedecms的用户安全机制问题,当
用户登陆的时候会记录用户的cookies,通过cookies可以绕过安全机制,直接登陆用户的控制面
板。Sine安全公司是一家专注于:网站安全、服务器安全、网站安全检测、网站漏洞修复,渗透测
试,安全服务于一体的网络安全服务提供商。
那么后台的管理员账号密码是怎么被任意修改的呢?具体漏洞利用是根据前台的admin账号的安
全机制来实现的,前台admin跟后台管理员的账号同是admin的时候,就可以触发该漏洞。我们
来操作一下:前台注册一个账号:名称随便,主要是为了获取admin的cookies值,以便可以前台
登陆admin账号。注册并登陆刚才申请的账号sine,并访问 http://www/member/index.php?uid=sine
右键查看源码查找last_vid_ckMD5这个的值是多少。并修改DedeUserID值为0000001,刷新访问
该页面http://www/member/index.php,如下图所示:
显示已登陆了 admin的账号了,登陆以后我们来改一下admin的账号密码。前台改的admin
密码,也会同步到后台的admin管理员账号上。那么我们就可以用刚修改的密码直接登陆网
站后台,进行提权即可。
如何修复dedecms漏洞?
我们在对dedecms的源代码进行安全分析的时候,发现member会员目录下的edit_baseinfo.php
文件存在安全漏洞,也就是说前台admin账号密码修改后,会同步修改掉后台的管理员账号
admin的密码,也就是因为这个漏洞导致网站可以被攻击者入侵,并篡改网站首页。怎样修改该
网站漏洞呢?Sine安全公司是一家专注于:网站安全、服务器安全、网站安全检测、网站漏洞修
复,渗透测试,安全服务于一体的网络安全服务提供商。
注释掉member会员目录下的index.php 第160行到165行的代码,如下图1所示:还有会员目录下
的resetpassword.php这个代码里的第80-85行代码进行注释,可以修复DEDECMS的漏洞。
目前dede官方暂时没有发布最新的漏洞补丁,请各大网站管理员按照上述的方法进行修复,最好
可以改掉管理员的账号admin,改为其他名字,也可以防止被漏洞利用。
-
-
-
(SQL)注入漏洞修复
-
3
-
-
-
第一步:将网站后台目录更改为自己特定的后台,防治被人为猜解出来
默认的后台目录是dede,可以更换为自己自定义的名字(比如zidingyi123等等),对应的后台文件更改名字即可
-
2
第二步:删除 根目录下的 install 文件夹,这个文件夹是dedecms的安装文件夹,上线前切记要删除
-
3
第三步:如果网站使用过程中没有用到会员的功能,那么可以直接删除member文件夹,这个文件夹下是会员部分,带有会员的上传图片和留言以及发布信息的权限,如果不用会员功能,切记删除
-
4
第四步:根目录的plus文件夹下list.php view.php和count.php文件保留,其他的正常情况下是可以删掉的,如果没有用到自定义搜索和多标签检索的情况下
-
5
第五步:如果没有用到会员的情况下,可以在后台 系统--》系统基本参数--》会员设置 关闭会员功能
-
第六步:后台 系统--》图片水印设置 关闭水印开关,或者是将水印设置成自己特定的文字或者图片
-
第七步:修改 根目录下的 favicon.ico为自己的logo图片的ICO图片,这个缓存的厉害,更改完就OK了,真正本地浏览器看到效果需要更换浏览器或者是清楚所有缓存过段时间
-
第八步:文件D:\wamp\www\dede\templets\login_ad.htm 删除如下这一段:
-
第九步:文件 D:\wamp\www\dede\templets\index_body.htm 删除如下这一段
-
第十步:文件 D:\wamp\www\dede\module_main.php注释掉这两段,他们会向dedecms官网发送卸载或安装插件的信息,如果你的服务器不是很好,或 不支持采集(下载),那么会卡死!去掉。
321行//SendData($hash);
527行//SendData($hash,2);
-
第十一步:文件D:\wamp\www\include\taglib\flink.lib.php 去除从这里开始的这一段,因为如果你的网站空间配置不太好或者甚至不支持采集,那么很可能卡死
else if($typeid == 999)
{
}
-
第十二步:文件 D:\wamp\www\include\dedemodule.class.php 为什么管理模块总是打不开的原因,在于这里,每30分钟向官网检测一次版本,所以你的网站不支持采集或配置太低,卡死!
if(file_exists($cachefile) && (filemtime($cachefile) + 60 * 30) > time()) 修改为 if(file_exists($cachefile) && filesize($cachefile) > 10)
-
第十三步:文件 D:\wamp\www\include\dedesql.class.php,去掉这一段,他会给网站加友情链接:
$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);
$arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,
0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,
0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,
0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);
//特殊操作
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
}
-
第十四步:文件 D:\wamp\www\include\common.func.php,加版权的,可以去掉:
$arrs1 = array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);
$arrs2 = array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,
0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,
0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,
0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);
-
最后一步是不能在网站后台更改的,就是后台的默认管理员admin,后台只可以更改密码,而不能更改掉管理员的名称,这个要去数据库中去更改,改成自己需要的后台账号和密码,我这里使用的是phpmyadmin来管理数据库,进到自己的库,然后打开dede_admin(这个是默认的数据库表文件)如果你更改过数据库表前缀,那么找到对应的表就是了,然后首先添加管理员,然后删除掉默认的admin,即可
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
