十万火急-dedecms 谁帮我调bug

　　从别的网站上找来的解决方法，不知道能不能。大家自己去试试

　　DedeCMS不久前爆出的”90secphp“漏洞，困扰了很多站长朋友，站长反馈“网站木马文件删除后，第二天又重新出现了”。

　　攻击者利用这个漏洞，把一段恶意PHP代码写入数据库的某个数据字段内，再利用DedeCMS对这个字段里的数据的处理时会执行插入到数据库里的恶意PHP代码，最终导致在目标网站上写入网站木马文件，完全控制这个网站。

　　所以当站长在删除网站上的木马文件时，并没有删除数据库内的内容，所以当DedeCMS对这个被插入恶意代码的字段里的数据处理时，再次出现了被删除了的网站木马文件。

　　安全联盟站长平台为DedeCMS的站长量身打造一个“DedeCMS漏洞后门专杀工具”，该工具只需下载放置到Dedecms根目录下运行后，可“一键扫描”查找漏洞、网站木马及数据库里的恶意代码并清除干净。

用户名，密码复杂性，即使hack拿到密码也不容易逆转破解；后台目录务必重命名，越复杂最好；关注官方网站，跟相应的杀毒软件，定时修补补丁，定时查杀多余php文件；

后台设置，删除多余会员，关闭会员功能，系统基本参数-会员设置，互动设置等限制；

精简设置，不需要的功能都删掉，每个目录下加一个空的indexhtml,防止目录被访问；可删除的功能：member，special，install（必删），company（企业模块），plus\guesbook留言板等一般用不上的功能；

可以删除不必要但容易受攻击的文件（再文件夹下搜索即可）：file_manage_controlphp，file_manage_mainphp，file_manage_viewphp，media_addphp，media_editphp，media_mainphp,downloadphp(没有下载功能)，feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档，上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置，

1>include,plus,member等附加组件 可读取 不可写入 执行脚本（纯脚本）

data、templets、uploads,images 可读写 不可执行（执行权限无）

2>设置iis权限，去掉user权限，自己设置一个权限；目录设置、不允许执行脚本：

织梦关闭自定义表单前台预览，删除友情链接申请功能；网站提交登陆一定要有验证码，防止hack暴力破解，提交。

也可以使用第三方安全插件：如360网站卫士，DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击：系统—病毒扫描—开始扫描，删除织梦系统以为的php文件；

首先检查声卡驱动，右击我的电脑--属性--硬件--设备管理器--声音视频和游戏控制器--右击--ReaItek--更新或扫描，卸载重新安装。（如没有驱动包就下载驱动精灵2009 B1版--驱动更新--声音、视频--开始更新--自找相应驱动--重启电脑。）

2调试麦克风：控制面板--高清晰音频配置--混频器--重放--小扳手--全选--OK--右边拉>它--Rear pink In--打X静音，其余的全推上去；如麦克风插前面板再将麦克风音量打X静音，再点音频I/O--小扳手--选禁用前面板插孔检测--OK--返回混频器--录制--小扳手--全选--OK--点击麦克风音量（版本不一致需打X静音立体声混音）

3加强麦克风：右击右下角小喇叭（小喇叭的音量推上）--调整音频属性--音量--设备音量--高级--（主音量全推到上）--选项--属性--麦克风音量打勾--确定,返回选项--高级控制--高级--麦克风加强勾上。

4右下角小喇叭显示方法：开始---设置---控制面板---声音和音频设备---音量--（勾选）将音量图标放入任务栏。

1、以下目录：data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径，可以在后台进行更改；2、以下目录：include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede)，可自行修改；3、如果不需要使用会员、专题，可以直接删除member、special目录；4、删除install安装目录；5、管理员帐号密码尽量设置复杂，发布文章可以新建频道管理员，并且只给予相关权限；6、Mysql数据库链接，不使用root用户，单独建立新用户，并给予：SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限；7、定期进行备份网站目录和数据库，并在后台进行文件校验、病毒扫描、系统错误修复。