談Dedecms一些隱患以及如何預(yù)防風(fēng)險
dedecms一直是很火的建站cms,主要得益于兩大站長網(wǎng)的鼎力支持;不過,人火是非多,cms太火了同樣會被別有用心的人盯上。我的網(wǎng)站一直在使用dedecms,前段時間又一次受到攻擊,攻擊的目的很簡單,那么便是黑鏈,知道后稍微修改下代碼就恢復(fù)了,不是很嚴(yán)重;這段時間網(wǎng)站又被莫名上傳文件,類似前一次,雖然對方還沒來得及修改網(wǎng)站模板,不過這說明網(wǎng)站安全防患還未到位,對方任何時候都可能再次取得管理員權(quán)限,所以要特別注意網(wǎng)站的安全防患措施。
因為我比較喜歡尋根究底,所以就去網(wǎng)上找了一下相關(guān)的資料,發(fā)現(xiàn)這確實是dedecms的漏洞,黑客可以利用多維的變量繞過正則檢測,漏洞主要發(fā)生在/plus/mytag_js.php中,原理便是準(zhǔn)備一個MySQL數(shù)據(jù)庫來攻擊已知網(wǎng)站的數(shù)據(jù)庫,通過向數(shù)據(jù)庫中寫入一句話的代碼,只要成功寫入,那么以后便可以利用這些代碼來獲得后臺管理員權(quán)限。
結(jié)合我的網(wǎng)站被攻擊已經(jīng)別人類似的經(jīng)歷來看,黑客寫入的文件主要存在于/plus/文件夾下,目前已知的幾個文件包括ga.php、log.php、b.php、b1.php等,文件的特征便是短小,內(nèi)容很少,可能寫入的時候不是很方便,不過這些代碼的作用確實不小的。
下面這是ga.php文件中的部分代碼:
實際的代碼比上面截取的要長,不過都是這段代碼的重復(fù),至于log.php的代碼,同這個類似,只有一句話,簡單明了,如果你對網(wǎng)絡(luò)安全稍有了解,那么會知道是php一句話木馬,使用部分指定的工具可以執(zhí)行這段代碼,預(yù)計是破解密碼的功能。
既然已經(jīng)知道對方是利用什么樣的漏洞,同時知道對方利用什么樣的原理來利用漏洞,那么要怎么預(yù)防這些危險的事發(fā)生呢?經(jīng)過查詢大量的資料,我初步整理出下面這些預(yù)防漏洞被利用的步驟,希望對同樣適用dedecms的站長朋友們有所幫助。
一、升級版本打好補(bǔ)丁設(shè)置目錄權(quán)限
這是官方對此的解決辦法,不管你使用的是什么版本的dedecms,都要及時在后臺升級版本自動更新補(bǔ)丁,這是避免漏洞被利用的最重要的一步;同時官方還提供設(shè)置目錄的方法,主要是設(shè)置data、templets、uploads、a為可讀寫不可執(zhí)行權(quán)限;include、member、plus、后臺管理目錄等設(shè)置為可執(zhí)行可讀不可寫入權(quán)限;刪除install及special目錄,具體如何設(shè)置見官方說明。
二、修改admin賬號及密碼
黑客可能是利用默認(rèn)admin賬號,隨后推測密碼來破解的,所以修改默認(rèn)的admin賬號非常重要,至于如何修改,方法很多,比較有效的是用phpadmin登陸網(wǎng)站數(shù)據(jù)庫,找到dede_admin數(shù)據(jù)庫表(dede是數(shù)據(jù)庫表前綴),修改其中userid及pwd兩項,其中密碼一定要修改成f297a57a5a743894a0e4,這是默認(rèn)的密碼admin;修改后去后臺登陸,登陸dede后臺后修改密碼。
三、別的值得注意的地方
至于更多的細(xì)節(jié),同樣要注意,盡量別選擇太廉價的空間,太廉價的空間很容易出現(xiàn)服務(wù)器本身的安全問題,只要服務(wù)器出現(xiàn)問題,整個服務(wù)器下面的網(wǎng)站都沒救了。還有便是,如果沒必要,盡量別開通會員注冊什么的,使用起來很麻煩;至于網(wǎng)站后臺目錄,不要寫到robots.txt里面,同時每個月至少換一次,管理員密碼什么的同樣要更換,避免和別的賬號密碼相同被推測出來。
經(jīng)過這幾次網(wǎng)站被攻擊的實例,不得不說,互聯(lián)網(wǎng)不是一個可以安心睡大覺的網(wǎng),作為站長,算是織網(wǎng)的人,更應(yīng)該注重網(wǎng)絡(luò)安全;只要按照要求去做到了這些防范措施,不說100%,至少95%的可能不會被順利取得后臺權(quán)限。
建站流程
-
網(wǎng)站需求
-
網(wǎng)站策劃方案
-
頁面設(shè)計風(fēng)格
-
確認(rèn)交付使用
-
資料錄入優(yōu)化
-
程序設(shè)計開發(fā)
-
后續(xù)跟蹤服務(wù)
-
聯(lián)系電話
010-60259772
熱門標(biāo)簽
- 網(wǎng)站建設(shè)
- 食品網(wǎng)站建設(shè)
- 微信小程序開發(fā)
- 小程序開發(fā)
- 無錫網(wǎng)站建設(shè)
- 研究所網(wǎng)站建設(shè)
- 沈陽網(wǎng)站建設(shè)
- 廊坊網(wǎng)站建設(shè)
- 鄭州網(wǎng)站建設(shè)
- 婚紗攝影網(wǎng)站建設(shè)
- 手機(jī)端網(wǎng)站建設(shè)
- 高校網(wǎng)站制作
- 天津網(wǎng)站建設(shè)
- 教育網(wǎng)站建設(shè)
- 品牌網(wǎng)站建設(shè)
- 政府網(wǎng)站建設(shè)
- 北京網(wǎng)站建設(shè)
- 網(wǎng)站設(shè)計
- 網(wǎng)站制作
最新文章
推薦新聞
更多行業(yè)-
手機(jī)網(wǎng)站建設(shè)-手機(jī)網(wǎng)站有哪些優(yōu)勢和特點
手機(jī)網(wǎng)站考慮了手機(jī)的屏幕,和指尖使用習(xí)慣,網(wǎng)站設(shè)計上與pc網(wǎng)站差別很大...
2019-10-11 -
網(wǎng)站建設(shè)公司怎么選擇合適的一家
雖然互聯(lián)網(wǎng)上的網(wǎng)站建設(shè)公司不斷增多,但是每家公司的技術(shù)實力卻很難了解。...
2020-07-27 -
百合網(wǎng)推實名制:“攪局者”還是“變革者”
以戀愛為名詐騙、頻繁的一夜情、婚外戀道德淪喪,頻見報端的負(fù)面信息,讓婚...
2012-02-03 -
網(wǎng)站功能定位與實施
1、企業(yè)的經(jīng)營理念、產(chǎn)品或服務(wù)特色 企業(yè)網(wǎng)站建設(shè)是企業(yè)根據(jù)自身經(jīng)營的...
2015-01-13 -
網(wǎng)站建設(shè)公司用靜態(tài)頁面分析網(wǎng)站優(yōu)化嗎?
我們在優(yōu)化網(wǎng)站的時候,要注意很多細(xì)節(jié),因為很多站長做不到細(xì)節(jié),導(dǎo)致自己...
2021-05-11 -
建站5年經(jīng)驗談
北京網(wǎng)站建設(shè)公司尚品中國:我是從07年開始建站,個人網(wǎng)站制作也有5年的...
2012-03-28
預(yù)約專業(yè)咨詢顧問溝通!
免責(zé)聲明
非常感謝您訪問我們的網(wǎng)站。在您使用本網(wǎng)站之前,請您仔細(xì)閱讀本聲明的所有條款。
1、本站部分內(nèi)容來源自網(wǎng)絡(luò),涉及到的部分文章和圖片版權(quán)屬于原作者,本站轉(zhuǎn)載僅供大家學(xué)習(xí)和交流,切勿用于任何商業(yè)活動。
2、本站不承擔(dān)用戶因使用這些資源對自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關(guān)法律法規(guī),當(dāng)本聲明與國家法律法規(guī)沖突時,以國家法律法規(guī)為準(zhǔn)。
4、如果侵害了您的合法權(quán)益,請您及時與我們,我們會在第一時間刪除相關(guān)內(nèi)容!
聯(lián)系方式:010-60259772
電子郵件:394588593@qq.com