2023-02-02 分類: 網(wǎng)站建設(shè)
dedecms一直是很火的建站cms,主要得益于兩大站長(zhǎng)網(wǎng)的鼎力支持;不過,人火是非多,cms太火了同樣會(huì)被別有用心的人盯上。我的網(wǎng)站一直在使用dedecms,前段時(shí)間又一次受到攻擊,攻擊的目的很簡(jiǎn)單,那么便是黑鏈,知道后稍微修改下代碼就恢復(fù)了,不是很嚴(yán)重;這段時(shí)間網(wǎng)站又被莫名上傳文件,類似前一次,雖然對(duì)方還沒來得及修改網(wǎng)站模板,不過這說明網(wǎng)站安全防患還未到位,對(duì)方任何時(shí)候都可能再次取得管理員權(quán)限,所以要特別注意網(wǎng)站的安全防患措施。
因?yàn)槲冶容^喜歡尋根究底,所以就去網(wǎng)上找了一下相關(guān)的資料,發(fā)現(xiàn)這確實(shí)是dedecms的漏洞,黑客可以利用多維的變量繞過正則檢測(cè),漏洞主要發(fā)生在/plus/mytag_js.php中,原理便是準(zhǔn)備一個(gè)MySQL數(shù)據(jù)庫來攻擊已知網(wǎng)站的數(shù)據(jù)庫,通過向數(shù)據(jù)庫中寫入一句話的代碼,只要成功寫入,那么以后便可以利用這些代碼來獲得后臺(tái)管理員權(quán)限。
結(jié)合我的網(wǎng)站被攻擊已經(jīng)別人類似的經(jīng)歷來看,黑客寫入的文件主要存在于/plus/文件夾下,目前已知的幾個(gè)文件包括ga.php、log.php、b.php、b1.php等,文件的特征便是短小,內(nèi)容很少,可能寫入的時(shí)候不是很方便,不過這些代碼的作用確實(shí)不小的。
下面這是ga.php文件中的部分代碼:
實(shí)際的代碼比上面截取的要長(zhǎng),不過都是這段代碼的重復(fù),至于log.php的代碼,同這個(gè)類似,只有一句話,簡(jiǎn)單明了,如果你對(duì)網(wǎng)絡(luò)安全稍有了解,那么會(huì)知道是php一句話木馬,使用部分指定的工具可以執(zhí)行這段代碼,預(yù)計(jì)是破解密碼的功能。
既然已經(jīng)知道對(duì)方是利用什么樣的漏洞,同時(shí)知道對(duì)方利用什么樣的原理來利用漏洞,那么要怎么預(yù)防這些危險(xiǎn)的事發(fā)生呢?經(jīng)過查詢大量的資料,我初步整理出下面這些預(yù)防漏洞被利用的步驟,希望對(duì)同樣適用dedecms的站長(zhǎng)朋友們有所幫助。
一、升級(jí)版本打好補(bǔ)丁設(shè)置目錄權(quán)限
這是官方對(duì)此的解決辦法,不管你使用的是什么版本的dedecms,都要及時(shí)在后臺(tái)升級(jí)版本自動(dòng)更新補(bǔ)丁,這是避免漏洞被利用的最重要的一步;同時(shí)官方還提供設(shè)置目錄的方法,主要是設(shè)置data、templets、uploads、a為可讀寫不可執(zhí)行權(quán)限;include、member、plus、后臺(tái)管理目錄等設(shè)置為可執(zhí)行可讀不可寫入權(quán)限;刪除install及special目錄,具體如何設(shè)置見官方說明。
二、修改admin賬號(hào)及密碼
黑客可能是利用默認(rèn)admin賬號(hào),隨后推測(cè)密碼來破解的,所以修改默認(rèn)的admin賬號(hào)非常重要,至于如何修改,方法很多,比較有效的是用phpadmin登陸網(wǎng)站數(shù)據(jù)庫,找到dede_admin數(shù)據(jù)庫表(dede是數(shù)據(jù)庫表前綴),修改其中userid及pwd兩項(xiàng),其中密碼一定要修改成f297a57a5a743894a0e4,這是默認(rèn)的密碼admin;修改后去后臺(tái)登陸,登陸dede后臺(tái)后修改密碼。
三、別的值得注意的地方
至于更多的細(xì)節(jié),同樣要注意,盡量別選擇太廉價(jià)的空間,太廉價(jià)的空間很容易出現(xiàn)服務(wù)器本身的安全問題,只要服務(wù)器出現(xiàn)問題,整個(gè)服務(wù)器下面的網(wǎng)站都沒救了。還有便是,如果沒必要,盡量別開通會(huì)員注冊(cè)什么的,使用起來很麻煩;至于網(wǎng)站后臺(tái)目錄,不要寫到robots.txt里面,同時(shí)每個(gè)月至少換一次,管理員密碼什么的同樣要更換,避免和別的賬號(hào)密碼相同被推測(cè)出來。
經(jīng)過這幾次網(wǎng)站被攻擊的實(shí)例,不得不說,互聯(lián)網(wǎng)不是一個(gè)可以安心睡大覺的網(wǎng),作為站長(zhǎng),算是織網(wǎng)的人,更應(yīng)該注重網(wǎng)絡(luò)安全;只要按照要求去做到了這些防范措施,不說100%,至少95%的可能不會(huì)被順利取得后臺(tái)權(quán)限。
網(wǎng)頁標(biāo)題:談Dedecms一些隱患以及如何預(yù)防風(fēng)險(xiǎn)
本文路徑:http://jinyejixie.com/news41/234241.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供電子商務(wù)、手機(jī)網(wǎng)站建設(shè)、微信小程序、響應(yīng)式網(wǎng)站、商城網(wǎng)站、軟件開發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容