在另一方面，黑客也早早的盯上了這塊“肥肉”般的漏洞，據國內著名CDN云安全服務提供商加速樂就漏洞曝光后分析發現，這個漏洞早在6月7日被曝光前就有“黑客”利用該漏洞，最早日志紀錄顯示為2012年12月27日，只是當時利用方式的限制，而沒有出現大規模黑站行為。而這個漏洞細節被公開后，出現了各種各樣的自動化攻擊的工具，這樣的攻擊變得更加“簡單”、“快速”、“直接”，攻擊者配合各個搜素引擎批量入侵使用DedeCMS的網站，而利用方式更加“暴力”，直接在網站上寫入網站木馬(如前文提到的“90sec.php”)。

 

　　至于之前站長反饋的“網站木馬文件刪除后，第二天又重新出現了”這個奇怪現象，則與這個漏洞的利用方式有關，攻擊者可以通過這個漏洞直接控制數據庫，篡改數據庫里的數據內容，那么攻擊者利用這個漏洞，把一段惡意PHP代碼寫入數據庫的某個數據字段內，再利用DedeCMS對這個字段里的數據的處理時會執行插入到數據庫里的惡意PHP代碼，最終導致在目標網站上寫入網站木馬文件，完全控制這個網站。所以當站長在刪除網站上的木馬文件時，并沒有刪除數據庫內的內容，所以當DedeCMS對這個被插入惡意代碼的字段里的數據處理時，再次出現了被刪除了的網站木馬文件。也就是這個漏洞利用的特殊性，包括某互聯網網絡安全公司推出的“網站后門查殺”在內的各種網站木馬掃瞄軟件基本都不支持數據庫里的惡意代碼是掃瞄。

 

　　針對這一漏洞的特殊性及巨大的影響，安全聯盟站長平臺為DedeCMS的站長量身打造一個“DedeCMS漏洞后門專殺工具”，該工具只需下載放置到Dedecms根目錄下運行后，可“一鍵掃瞄”查找漏洞、網站木馬及數據庫里的惡意代碼并清除干凈。

 

　　專殺工具下載地址：http://zhanzhang.anquan.org/static/download/dede_killer.zip

 

　　使用交流：http://bbs.jiasule.com/thread-4977-1-1.html