公司网站是织梦模板建的,怎样防止被挂马?

公司网站是织梦模板建的,怎样防止被挂马?,第1张

织梦如果是不收费的这个就是这样子,不收费的在线升级程序也不行,所以你别指望给你查出病毒,如果有问题你就用360网站安全检测检测一下,修复一下漏洞,织梦漏洞就是比较多,希望可以帮助你。

您好,如果当前杀毒软件无法查杀这个木马,您可以重装其他版本或者换用其他专杀工具。

 

建议使用腾讯电脑管家,使用国际知名小红伞杀毒引擎,性能强悍,点此下载:腾讯电脑管家官网

 

方法:

腾讯电脑管家——杀毒——全盘查杀即可。

腾讯电脑管家企业平台:http://zhidaobaiducom/c/guanjia/

用户名,密码复杂性,即使hack拿到密码也不容易逆转破解;后台目录务必重命名,越复杂最好;关注官方网站,跟相应的杀毒软件,定时修补补丁,定时查杀多余php文件;

后台设置,删除多余会员,关闭会员功能,系统基本参数-会员设置,互动设置等限制;

精简设置,不需要的功能都删掉,每个目录下加一个空的indexhtml,防止目录被访问;可删除的功能:member,special,install(必删),company(企业模块),plus\guesbook留言板等一般用不上的功能;

可以删除不必要但容易受攻击的文件(再文件夹下搜索即可):file_manage_controlphp,file_manage_mainphp,file_manage_viewphp,media_addphp,media_editphp,media_mainphp,downloadphp(没有下载功能),feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余,也最影响安全,许多HACK都是通过它来挂马的。它简直就是小型挂马器,上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档,上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置,

1>include,plus,member等附加组件 可读取 不可写入 执行脚本(纯脚本)

data、templets、uploads,images 可读写 不可执行(执行权限无)

2>设置iis权限,去掉user权限,自己设置一个权限;目录设置、不允许执行脚本:

织梦关闭自定义表单前台预览,删除友情链接申请功能;网站提交登陆一定要有验证码,防止hack暴力破解,提交。

也可以使用第三方安全插件:如360网站卫士,DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击:系统—病毒扫描—开始扫描,删除织梦系统以为的php文件;

2011-8-19 DedeCMS全局变量初始化存在漏洞

描述:可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21 DedeCMS官方源码被植入后门

描述:导致黑客可以执行任意代码从而控制整个网站或服务器

2013-3-29DedeCMS安全漏洞

描述:“本地文件包含漏洞”,发现时为“0day”,官方已修复

2013-4-1DedeCMS 爆SQL注入漏洞

描述:乌云平台曝光, “0day”,官方已修复

2013-5-2DedeCMS“重安装”高危安全漏洞

描述:被发现“0day”,通知官方修复并启用临时修复方案

2013-6-4DedeCMS 高危安全漏洞

描述:此漏洞为“0day”,官方已修复

2013-9-30DedeCMS 57版本高危漏洞

描述:乌云白帽子上报,“0day”,跨站脚本漏洞,可在前台插入恶意JS代码,黑客已经利用

2014-1-6DedeCMS会员投稿跨站脚本漏洞

描述:攻击者可通过“会员投稿”插入恶意代码,后台管理审稿时“中招”可导致网站被黑

2014-2-17swfuploadswf跨站漏洞

描述:该漏洞乌云平台上报,站长反馈网站在检测时检测出此漏洞,已提供修复方案

2014-3-4DedeCMS多个安全漏洞

描述:包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复

2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑,黑客在织梦服务器端植入恶意代码,所有织梦用户访问后台时会提示下载1exe文件,该程序为后门,一旦下载便会感染成为远控端,而且该病毒会实现反复感染。如果用户为IE浏览器,则会直接感染成为远控端。

开学了,返校了,又在宿舍上网了,但现在的校园网安全吗暑假中,DeDeCMS系统曝出了严重的漏洞,这个系统在很多学校的校园网中存在,黑客利用该漏洞就可以控制校园网,进行挂马、嵌入病毒……不过校园网中不乏电脑高手,下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”,我猜每一个大学校园里,都有像我这样的一号人,我们对电脑充分的了解,面对互联网海洋时,就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西,只要它存在于互联网之中,或者在互联网中生活过一段时间,我都能够帮助你找到源头,或者帮你把你感兴趣的东西弄到手。你猜对了,我就是黑客,活跃在校园里面的黑客。

我自认为算是高手,帮同学从别的黑客手里**回被窃的账号,在网吧让一个讨厌鬼不停的更换电脑,也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子,我准备对我的学校网站进行了一次安全检测。或许你要问,为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统),这个系统在很多学校中被使用。

博弈主题:攻击DeDeCMS整站系统

技术难度:★★★★

重点知识:如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头,真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞,不知道网管补上该漏洞没有,如果没有补上,大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞,导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息,例如管理员密码、加密key等,一旦这些敏感资料被黑客掌握,要在校园网内挂马就是轻而易举的事情了,真危险。

小知识:编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的,它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息,经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因,下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵,一种是PHP脚本的入侵方案,采用这种方案,需要先在自己的本机调试好PHP解析环境,然后登录入侵的目标网站,在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂,因此我使用第二种进行检测,通过漏洞检测注入程序直接注入。

首先,登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》,点击“Target

Infomation”标签选项,在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框,这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后,复制浏览器地址栏中的网站路径,例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url],然后复制粘贴提交测试,粘贴完成后点击“Check”按钮,测试网站是否符合条件

首先查看程序根目录中有没有indexphp这个文件,如果没有,去官方下载一个完整数据包,把indexphp复制过去一个。

如果有这个文件,那么通常是模板路径不对,先登录后台选择系统,点击数据库备份还原,选择还原数据库,等还原成功之后,去到基本参数设置那里,把网站风格那个选项里的值随便改成别的点击确定,然后再改回来,点击确定,然后再一键更新整站,这样就好了

注:本篇模板防盗安全设置,针对的是dedecms程序本身,不涉及其他安全设置。

下面跟大家说下常见的方式,这些方法对技术有限的人来说,可以起到模板防盗作用,对真正的高手来说,大多数网站都是仿不了的,这个大家都需要知道。

方法一:修改系统默认模板文件夹名字,最简单,也很实用

步骤:后台->系统->系统基本参数->站点设置->模板默认风格->default

把default改成你自己取的名字,然后进FTP,打开templets文件夹,把default名字改成一致,这样别人就不知道你网站模板文件夹名字了。方法二:把系统默认的htm模板文件名改一改。

大家都知道默认的模板文件的名字,如indexhtm(),list_articlehtm(文章列表页),article_articlehtm(文章内容页)等等,直接就给扒下来。

所以,我们把这些默认的名字改一改,然后去栏目管理处,重新指定一下模板文件就可以增加一下模板的安全了。

1、认识一下默认模板文件的名字及作用

首页模板:/templets/default/indexhtml

文章频道首页:/templets/default/index_articlehtm

文章列表页:/templets/default/list_articlehtm

文章内容页:/templets/default/article_articlehtm

图集频道首页:/templets/default/index_imagehtm

具体模板名介绍:

2、不同栏目各自指定不同的模板

步骤:核心->常用操作->网站栏目管理->点击右侧对应栏目的“更改”链接->高级选项->手动指定模板

详细操作方法:

3、完成以上2步,生成更新一下栏目就行了。方法三:这个方法是上2个的结合,说起来也简单,

1、后台不修改默认模板风格default的名字,在templets文件夹里面新建一个文件夹,自己取名。

2、把用到的模板文件上传到这个文件夹里面;

这里需要有一个注意,因为后台没有修改默认的模板风格位置,所有,首页、列表、内容等模板文件引用的通用页头(headhtml)、页尾(footerhtm),就需要修改一下,不然就不显示了页头页尾,方法如下:

{dede:include

filename="123456/headhtm"/}

如果你自己建立的模板文件夹名字是123456,调用代码里就写123456。

搜索页面、tag页面,都放在默认的default里面,如果放在自己建的文件夹里面,系统不认。

3、按照方法二的步骤,手动指定各个栏目的模板。

方法四:修改CSS、、JS等调用路径。

这个很重要,最好把CSS、、JS等放到网站根目录再调用。

不然的话,即使你修改了默认的风格目录,在查看网页源代码的时候,还是照样可以看到模板目录的!

好多新手在用dedecms建站的时候,没有重视这个,等模板被盗了,才发现,很让人生气,所以,我们要提前做好这些防盗的准备,提高模板的安全性。

写的比较啰嗦,主要是为了让大家能够容易理解。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 公司网站是织梦模板建的,怎样防止被挂马?

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情