11月28日,360主机卫士发现dedeCMS站长登录后台遭黑客挂马,一旦访问会自动下载exe文件,下载回来后被360杀毒提示为木马病毒。为此360第一时间发布挂马警报,并通知dedeCMS清除木马。
今日上午,360主机卫士的QQ群有站长反馈,发现登录dedeCMS后台就自动下载一个exe文件,下载回来后被360杀毒提示木马病毒。
随后,360主机卫士团队在本地搭建了一下环境。登录后台后,系统会默认加载一个dedeCMS官方网站更新页面,页面上被嵌入了一行iframe的代码。该iframe代码指向了下载的1.exe文件,并会根据浏览器设置自动下载到站长的电脑上。
经过对该exe文件分析发现,这是黑客的植入远程控制木马。360安全卫士和360杀毒及时对该木马文件进行了拦截查杀处理。
360主机卫士同时发现,在今天上午10点30分左右dedeCMS官方网站和被挂马的页面出现“404”错误,持续大概20分钟后网站可以正常访问,随之被挂马的地址发生了改变。
360网站安全总监赵武表示:此事被挂的网站在newver.api.dedecms.com域名,用于进行新版本提示,影响dedeCMS所有版本,站长登录后台就会自动下载。请站长互相转告,切勿运行下载的exe后门程序。
据统计,国内有超过20万家网站使用dedeCMS建站。经过360紧急通知,dedeCMS目前已经清除了网页木马。如有站长的电脑没安装专业安全软件而中招,可下载使用360安全卫士或360杀毒对电脑进行扫描,能够查杀木马程序。
