淺談Dedecms的一些隱患以及如何防范風(fēng)險(xiǎn)
  • 更新時(shí)間:2024-11-07 05:31:21
  • 網(wǎng)站建設(shè)
  • 發(fā)布時(shí)間:1年前
  • 212

dedecms一直是非常受歡迎的建站cms,主要得益于兩大站長(zhǎng)網(wǎng)的全力支持;但是人多,cms太流行,也會(huì)被別有用心的人盯上。我的網(wǎng)站一直在用dedecms,前段時(shí)間又被攻擊了。攻擊的目的很簡(jiǎn)單,就是黑鏈接。知道后,稍微修改一下代碼,就恢復(fù)了。不是很?chē)?yán)重;期間網(wǎng)站莫名上傳文件,與上次類(lèi)似,雖然對(duì)方還沒(méi)有來(lái)得及修改網(wǎng)站模板,但這說(shuō)明該網(wǎng)站的安全防范措施還沒(méi)有到位,對(duì)方可能隨時(shí)重新獲得管理員權(quán)限,因此應(yīng)特別注意站點(diǎn)的安全防范措施。

因?yàn)橄矚g追根究底,所以去網(wǎng)上找了相關(guān)資料,發(fā)現(xiàn)這確實(shí)是dedecms的一個(gè)漏洞。黑客可以使用多維變量來(lái)繞過(guò)常規(guī)檢測(cè)。該漏洞主要出現(xiàn)在/plus/mytag_js.php。原理很簡(jiǎn)單,準(zhǔn)備一個(gè)MySQL數(shù)據(jù)庫(kù),攻擊已知網(wǎng)站的數(shù)據(jù)庫(kù)。通過(guò)在數(shù)據(jù)庫(kù)中寫(xiě)入一段代碼,只要寫(xiě)入成功,以后就可以利用這些代碼獲取后臺(tái)管理員權(quán)限。

結(jié)合我的網(wǎng)站被攻擊和其他人的類(lèi)似經(jīng)歷,黑客編寫(xiě)的文件主要存在于/plus/文件夾中。目前已知的文件有g(shù)a.php、log.php、b.php、b1.php等,文件的特點(diǎn)是體積短,內(nèi)容少,寫(xiě)起來(lái)可能不是很方便,但是這些文件的功能代碼量確實(shí)不小。

這是ga.php 文件中的部分代碼:

評(píng)估($_POST[1])

評(píng)估($_POST[1])

?

評(píng)估($_POST[1])

實(shí)際代碼比上面截取的要長(zhǎng)一些,不過(guò)是這段代碼的重復(fù)。至于log.php的代碼,和這一段差不多,只有一句話(huà),簡(jiǎn)單明了。 PHP 是一個(gè)單句木馬??梢允褂靡恍┲付ǖ墓ぞ邅?lái)執(zhí)行此代碼。預(yù)計(jì)是破解密碼的功能。

既然知道了對(duì)方利用了什么樣的漏洞,同時(shí)也知道了對(duì)方利用了什么樣的原理來(lái)鉆空子,那么如何才能避免這些危險(xiǎn)的事情發(fā)生呢?查閱了很多資料,初步整理出以下預(yù)防漏洞被利用希望對(duì)同樣應(yīng)用dedecms的站長(zhǎng)朋友有所幫助。

1.升級(jí)版本打補(bǔ)丁設(shè)置目錄權(quán)限

這是對(duì)此的官方解決方案。不管你用的是什么版本的dedecms,都必須在后臺(tái)升級(jí)版本,及時(shí)自動(dòng)更新補(bǔ)丁。這是避免漏洞被利用的最重要的一步;同時(shí)官方也提供了設(shè)置目錄的方法,主要是設(shè)置data、templets、uploads、a為讀寫(xiě)和不可執(zhí)行的權(quán)限; include、member、plus、后臺(tái)管理目錄等設(shè)置可執(zhí)行、可讀、不可寫(xiě)權(quán)限;刪除install和special目錄,看官方說(shuō)明如何設(shè)置。

2.修改admin賬號(hào)和密碼

黑客可能會(huì)使用默認(rèn)的admin賬號(hào),通過(guò)猜測(cè)密碼進(jìn)行破解,所以修改默認(rèn)的admin賬號(hào)非常重要。至于怎么修改,有很多種方法。比較有效的方法是用phpadmin登錄網(wǎng)站數(shù)據(jù)庫(kù),找到dede_admin數(shù)據(jù)庫(kù)表(dede是數(shù)據(jù)庫(kù)表前綴),修改userid和pwd,密碼一定要改成f297a57a5a743894a0e4,也就是默認(rèn)密碼admin ;修改后去后臺(tái)登錄,登錄dede后臺(tái)后修改密碼。

三、其他注意事項(xiàng)

至于更多的細(xì)節(jié),也要注意,盡量不要選擇太便宜的空間,太便宜的空間容易出現(xiàn)服務(wù)器本身的安全問(wèn)題,只要服務(wù)器出了問(wèn)題,服務(wù)器下的整個(gè)網(wǎng)站都會(huì)丟失.還有,如果不是必須的,盡量不要開(kāi)會(huì)員注冊(cè)什么的,用起來(lái)很麻煩;至于網(wǎng)站的后臺(tái)目錄,不要寫(xiě)在robots.txt里,至少一個(gè)月?lián)Q一次。替換它以避免猜測(cè)它與其他帳戶(hù)密碼相同。

經(jīng)過(guò)幾次網(wǎng)站被攻擊,不得不說(shuō),互聯(lián)網(wǎng)不是一個(gè)可以安枕無(wú)憂(yōu)的網(wǎng)絡(luò)。作為站長(zhǎng),你可以看作是一個(gè)編織網(wǎng)絡(luò)的人,更應(yīng)該注意網(wǎng)絡(luò)安全;只要按照要求做好這些防范措施,別說(shuō)100%,至少95%都可能無(wú)法成功獲得后臺(tái)權(quán)限。

我們專(zhuān)注高端建站,小程序開(kāi)發(fā)、軟件系統(tǒng)定制開(kāi)發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開(kāi)發(fā)、各類(lèi)API接口對(duì)接開(kāi)發(fā)等。十余年開(kāi)發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿(mǎn)意為止,多一次對(duì)比,一定讓您多一份收獲!

本文章出于推來(lái)客官網(wǎng),轉(zhuǎn)載請(qǐng)表明原文地址:https://www.tlkjt.com/web/11922.html
推薦文章

在線(xiàn)客服

掃碼聯(lián)系客服

3985758

回到頂部