談Dedecms一些隱患以及如何預防風險
dedecms一直是很火的建站cms,主要得益于兩大站長網的鼎力支持;不過,人火是非多,cms太火了同樣會被別有用心的人盯上。我的網站一直在使用dedecms,前段時間又一次受到攻擊,攻擊的目的很簡單,那么便是黑鏈,知道后稍微修改下代碼就恢復了,不是很嚴重;這段時間網站又被莫名上傳文件,類似前一次,雖然對方還沒來得及修改網站模板,不過這說明網站安全防患還未到位,對方任何時候都可能再次取得管理員權限,所以要特別注意網站的安全防患措施。
因為我比較喜歡尋根究底,所以就去網上找了一下相關的資料,發現這確實是dedecms的漏洞,黑客可以利用多維的變量繞過正則檢測,漏洞主要發生在/plus/mytag_js.php中,原理便是準備一個MySQL數據庫來攻擊已知網站的數據庫,通過向數據庫中寫入一句話的代碼,只要成功寫入,那么以后便可以利用這些代碼來獲得后臺管理員權限。
結合我的網站被攻擊已經別人類似的經歷來看,黑客寫入的文件主要存在于/plus/文件夾下,目前已知的幾個文件包括ga.php、log.php、b.php、b1.php等,文件的特征便是短小,內容很少,可能寫入的時候不是很方便,不過這些代碼的作用確實不小的。
下面這是ga.php文件中的部分代碼:
實際的代碼比上面截取的要長,不過都是這段代碼的重復,至于log.php的代碼,同這個類似,只有一句話,簡單明了,如果你對網絡安全稍有了解,那么會知道是php一句話木馬,使用部分指定的工具可以執行這段代碼,預計是破解密碼的功能。
既然已經知道對方是利用什么樣的漏洞,同時知道對方利用什么樣的原理來利用漏洞,那么要怎么預防這些危險的事發生呢?經過查詢大量的資料,我初步整理出下面這些預防漏洞被利用的步驟,希望對同樣適用dedecms的站長朋友們有所幫助。
一、升級版本打好補丁設置目錄權限
這是官方對此的解決辦法,不管你使用的是什么版本的dedecms,都要及時在后臺升級版本自動更新補丁,這是避免漏洞被利用的最重要的一步;同時官方還提供設置目錄的方法,主要是設置data、templets、uploads、a為可讀寫不可執行權限;include、member、plus、后臺管理目錄等設置為可執行可讀不可寫入權限;刪除install及special目錄,具體如何設置見官方說明。
二、修改admin賬號及密碼
黑客可能是利用默認admin賬號,隨后推測密碼來破解的,所以修改默認的admin賬號非常重要,至于如何修改,方法很多,比較有效的是用phpadmin登陸網站數據庫,找到dede_admin數據庫表(dede是數據庫表前綴),修改其中userid及pwd兩項,其中密碼一定要修改成f297a57a5a743894a0e4,這是默認的密碼admin;修改后去后臺登陸,登陸dede后臺后修改密碼。
三、別的值得注意的地方
至于更多的細節,同樣要注意,盡量別選擇太廉價的空間,太廉價的空間很容易出現服務器本身的安全問題,只要服務器出現問題,整個服務器下面的網站都沒救了。還有便是,如果沒必要,盡量別開通會員注冊什么的,使用起來很麻煩;至于網站后臺目錄,不要寫到robots.txt里面,同時每個月至少換一次,管理員密碼什么的同樣要更換,避免和別的賬號密碼相同被推測出來。
經過這幾次網站被攻擊的實例,不得不說,互聯網不是一個可以安心睡大覺的網,作為站長,算是織網的人,更應該注重網絡安全;只要按照要求去做到了這些防范措施,不說100%,至少95%的可能不會被順利取得后臺權限。
推薦新聞
更多行業-
做網站怎么選擇專業公司?售后服務好不好?
關于做網站的問題非常多,以往許多客戶都會采用購買模板制作網站的方式,但...
2023-02-24 -
網站設計如何做好日常優化工作?
企業網站的理想效果是關鍵詞的穩定排名。關鍵詞的穩定排名可以給企業帶來相...
2021-06-16 -
互聯網典型應用之電子郵件
北京網站建設公司尚品中國:電子郵件的英文名稱為E-mail,它是一種通...
2012-08-23 -
響應式網站和 自適應網站的區別是?
自適應網頁設計也是響應式網頁設計,響應式網頁設計也是自適應網頁設計。但...
2018-07-16 -
SEO網站優化之新站交換優質友情鏈接的方法
北京網站建設公司尚品中國:大家都知道一個網站權重越好,交換的友情鏈接質...
2012-02-10 -
觀點交鋒:通話計費規則工商部門有沒有權利管
新浪科技訊 2月3日上午消息,哈爾濱工商局近日啟動“叫停...
2012-02-03
預約專業咨詢顧問溝通!
免責聲明
非常感謝您訪問我們的網站。在您使用本網站之前,請您仔細閱讀本聲明的所有條款。
1、本站部分內容來源自網絡,涉及到的部分文章和圖片版權屬于原作者,本站轉載僅供大家學習和交流,切勿用于任何商業活動。
2、本站不承擔用戶因使用這些資源對自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關法律法規,當本聲明與國家法律法規沖突時,以國家法律法規為準。
4、如果侵害了您的合法權益,請您及時與我們,我們會在第一時間刪除相關內容!
聯系方式:010-60259772
電子郵件:394588593@qq.com