有问题的页面：http://www.msnshell.net/download.html
 
官方下载地址应该是有问题的，似乎被人替换过，文件只有300多k，virustotal等一堆报毒；而指向天空软件站等下载的就有5.xMB，本地扫描和快速云端扫描似乎无毒。
 
从网站来看，用的web软件都很旧，dz 6.1，WordPress 2.0.4，还有一个被关闭的wiki。
 
用http://webscan.360.cn有新发现，发现http://ilove.msnshell.com。进去一看，投票插件有注入，表名显示是dedecms，用户权限只有USAGE。
 
渗透测试不喜欢拿shell，联想dedecms一堆问题，猜测应该是这个途径导致的服务器沦陷？
 
后续追踪。
 
注入查后台管理员表，发现一个信息审核员存在弱密码，进入，发现里面的图片浏览功能存在列目录漏洞，但由于权限问题不能看到和读取除图片之外的其他文件，也不能传其他文件。推测如果是超级管理员，会有上传功能，也相应的存在上传漏洞。
 
另外，关于帐号，怀疑这个“信息审核员”是黑客留下的，因为其登录ip“220.178.37.42”在google声誉不佳，可能也是肉鸡；而在cmd5里面，发现另一个拥有传文件权限的超级管理员md5已被破译（但需付费查询），从最后进入后台的时间“2011-10-10 09:38:02”来看，估计传shell也不是问题了。
 
但是以上推测可能存在偏差，因为既然有sql注入，那必然也可以用sql update来抹掉相关入侵信息（测试有效）。
 
所以，后面的攻击步骤，猜测是黑客通过SQL注入创建了一个超级管理员（或者update一个已有的普通管理员账号到超级），然后登录后台，找到后台的上传漏洞，传shell，然后替换官方文件为木马。不过不够胆量，没走这一步确认是否真的有后台的上传漏洞。
 
最后，dede版本真旧，2.1......
 
追踪完毕

Nuclear'Atk 网络安全研究中心