如何解决DedeCMS 57SP1 plusdownloadphp url重定向漏洞
从别的网站上找来的解决方法,不知道能不能。大家自己去试试
DedeCMS不久前爆出的”90secphp“漏洞,困扰了很多站长朋友,站长反馈“网站木马文件删除后,第二天又重新出现了”。
攻击者利用这个漏洞,把一段恶意PHP代码写入数据库的某个数据字段内,再利用DedeCMS对这个字段里的数据的处理时会执行插入到数据库里的恶意PHP代码,最终导致在目标网站上写入网站木马文件,完全控制这个网站。
所以当站长在删除网站上的木马文件时,并没有删除数据库内的内容,所以当DedeCMS对这个被插入恶意代码的字段里的数据处理时,再次出现了被删除了的网站木马文件。
安全联盟站长平台为DedeCMS的站长量身打造一个“DedeCMS漏洞后门专杀工具”,该工具只需下载放置到Dedecms根目录下运行后,可“一键扫描”查找漏洞、网站木马及数据库里的恶意代码并清除干净。
首先可以明确的告诉你,DedeCMS的0day漏洞很多,而且也有一年多时间没有维护了。所以网上“流传”DedeCMS不安全、漏洞多是真实的情况,但这也洽洽说明dedecms在以前的确很火。
DedeCMS后台功能上是很齐全的,而且操作起来简单,用来二次开发也比较容易,所以在前几年受到不少套网站的程序员的热爱。正因为如此,再加上它是开源的,所以不少人发现漏洞后就开始攻击基于这款CMS的网站,每次一曝出漏洞,受到影响的网站很多。
考虑到现在官方也没维护了,所以建议大家选择其它CMS,比如PHPCMS在安全性上就给DedeCMS要好得多;而且现在PHP版本都比较高了,DedeCMS在这些高版本的PHP环境下运行会存在一些兼容性问题。
如果你的网站现在用的就是DedeCMS那建议作好安全加固措施,比如:
若网站没有交互,可以全站生成静态页,然后静态页单独部署,将后台和前台分离,这样别人无法攻击动态脚本;
源码目录权限严格控制,避免权限过大导致的非法文件可以上传或者可执行。
综上,DedeCMS不建议选择。
修改downloadphp(网站根目录/plus/downloadphp)
将header("location:$link");
替换为
if(stristr($link,$cfg_basehost))
{
header("location:$link");
}
else
{
header("location:$cfg_basehost");
}
对link参数做判断,对不是同域名的跳转给予提示,将非本站域名跳转到网站首页,以免出现钓鱼欺诈行为。而scanv也不会再提示低危风险漏洞了。
一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了
网站挂马是每个网站最头痛的问题,解决办法:1在程序中很容易找到挂马的代码,直接删除,或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉
听朋友说 SineSafe 不错 你可以去看看。
清马+修补漏洞=彻底解决
所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒
清马
1、找挂马的标签,比如有<script language="javascript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=网马地址></iframe>,或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马,一般是JS挂马。
2、找到了恶意代码后,接下来就是清马,如果是网页被挂马,可以用手动清,也可以用批量清,网页清马比较简单,这里就不详细讲,现在着重讲一下SQL数据库清马,用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”, 解释一下这一句子的意思:把字段名里的内容包含aaa的替换成空,这样子就可以一个表一个表的批量删除网马。
在你的网站程序或数据库没有备份情况下,可以实行以上两步骤进行清马,如果你的网站程序有备份的话,直接覆盖原来的文件即可。
修补漏洞(修补网站漏洞也就是做一下网站安全。)
1、修改网站后台的用户名和密码及后台的默认路径。
2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。
3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。
4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。
5、尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码。
6、写入一些防挂马代码,让框架代码等挂马无效。
7、禁用FSO权限也是一种比较绝的方法。
8、修改网站部分文件夹的读写权限。
9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全也是很有必要了!
可以在系统后台直接进行升级,或者下载安全补丁,在这里再次提醒对服务器安全设置要注意:
03-22文件修复列表
plus/searchphp, 修复导致跨站脚本攻击错误
plus/listphp, 修复导致跨站脚本攻击错误
03-10文件修复列表:
include/datalistcpclassphp, 增加一个信息过滤使之更严谨
include/dedesqlclassphp, 增加日志无法浏览的特殊处理
plus/digg_ajaxphp, 常规问题修复
plus/digg_framephp, digg常规问题修复
plus/comments_framephp, 评论常规问题修复
plus/votephp, 修复一个投票编码错误(UTF-8版本)
或者可以下载补丁包:
http://updatenewdedecmscom/Patch/Patch20100309zip
织梦的系统安全配置你可以去看一下。如果全部配置好之后应该还算是安全的,另外你要检查一下你的代码,看有没有一些木马,全部去除掉。还有的就是自己换一台好的主机,要不然别人通过旁注还是可以黑你的网站。
1、修改后台目录:安装好网站之后第一步就应该修改后台目录,把默认的dede随意改成其他名字,最好是MD5加密形式的;(一般的普通用户不会使用md5加密,那就把后台目录改得复杂一点吧,只要自己知道就行了)
2、设置复杂的后台密码:密码应该由大写字母、小写字母和数字组成;(后台密码想多复杂就改多复杂,最好用个记事本记着,太复杂的密码容易忘,特别是企业网站用户,长时间不更新网站密码就忘了织梦者也是深有体会的呀)
3、安装的时候数据库的表前缀最好改一下,不用dedecms默认的前缀dede_,可以改成其他的名称如bdw_;(这一条您如果是找人做站的一定要提前知会建站的人把前缀改掉要不然用了默认的前缀,那到最后谁都头疼)
4、删除安装文件install:安装后应立即把install文件删除;(这个一定要删除)
5、不用会员系统,就把member整个文件夹全部;(一般的dedecms做的企业站是用不到member这个文件夹的删了吧)
6、用不到留言本,就把plus下的guestbook文件删除;(这里说的是用不到留言本
看清哦
企业站有很多用户都会要个留言本
)
7、不用下载功能,就把管理目录下的soft__xxx_xxxphp删除;(一般的企业站和文章类型的网站也用不到下载功能)
8、如果是使用HTML,可以把plus下的相应文件和根目录下的indexphp删除;(大家都喜欢生成静态的网站,搜索引擎也喜欢
所以还是删了吧)
9、不用专题功能可以把special文件夹删除;(专题大多数朋友都用不着)
10、用不到企业模块可以把company文件夹删除;(这个模块可以不要)
11、不用下载发布功能可以把管理目录下soft__xxx_xxxphp删除;(同第八条)
12、删除后台的文件式管理器:通过后台的文件式管理器,可以修改网站的任何文件,为了安全,建议把管理目录下file_manage_xxxphp删除;(嗯
织梦者一般都用这个功能改css
删了吧
黑客很厉害的)
13、如果不需要SQL命令运行器的可以把管理目录下的sys_sql_queryphp删除;(这个可以通过sql命令改任何东西的哦
不会用sql的删)
14、另外一些用不到的文件都删除,还可以把数据库里面不用的表删除掉;(建议对dedecms比较熟悉的客户便用)
15、保持更新,及时打补丁。(这是必须的)
上面是一些常用的防攻击方法,最好的办法是定期备份,并把备份文件下载到电脑安全的地方保存好,网站如果被攻击,把空间里面的文件全部删除,上传备份文件即可。
0条评论