怎样解决织梦DEDECMS网站后台被挂黑链

怎样解决织梦DEDECMS网站后台被挂黑链,第1张

phpcms优点:

1模块化安装,非常适合安装,拆卸,和拿到市场上去交易非常方便的。

2灵活的标签语法,非常强大。

3缓存做的非常优秀。几乎支持目前主流的几大缓存系统解决方案,file缓存,eaelerator缓存,memcache缓存,shmop缓存等

4安全性也不错的。后台为了防范入侵,采用了cookie和session同时存在验证技术,才可以安全进入后台。

多次登录失败,开启验证码功能。防止机器人频繁猜口令。

5数据库。在根目录下的include目录下,db_aessphpdb_mssqlphpdb_mysqlphp等,就照着他的方法,在增加几个也没问题的。

6兼容性。是在php4的基础上开发的,所以向下兼容性是不错的。在include/globalfuncphp这个文件可以看到很多if(!function_exist()){},这些代码就是为了兼容php4相关函数。

phpcms缺点:

1后台对应的模块的功能列表url,从数据库中读取的,也即是,安装的时候,将url写入数据库了。这个如果二次开发要修改的话,不是很方便的,最好是写到文件中,读取文件内容,方便开发者开发,而且也更容易维护,如果是出于安全考虑的话,不妨加下密也可以的。

2分部式。后台的某些功能模块,还是要调用各个应用模块的admin部分,相关*.inc.php文件.如果我要把其中某个模块或应用独立出去部署到其他的服务器上,就不方便了。

3数据库设计问题,后台开设模型时,表的引擎只能是myIsam,而不能选择其他的,字段的类型,比如要开设一个字段为number,类型为int,但是在新增加的模型表中还是以varchar出现,而不是int,长度是默认的255modelfiled表,才发现该系统是将类型写到该表中了。

4加密/解密程序。目前已经在想相关安全网站已被爆以破解。这也不是什么新闻了。在开发中,关注下相关安全厂商发布的漏洞。

5数据库抽象层。就以上提到的几个数据库文件。db_mssqlphpdb_mysqlphpdb_aessphp等对于数据库分布式,应该没问题的。数据库抽象层处理数据比较快,且快平台更容易且更容易维护,这个是需要考虑的。

Dedecms功能实用,模板功能使用简单。

织梦的系统安全配置你可以去看一下。如果全部配置好之后应该还算是安全的,另外你要检查一下你的代码,看有没有一些木马,全部去除掉。还有的就是自己换一台好的主机,要不然别人通过旁注还是可以黑你的网站。

从你发布的可以看出,你网站已经被人种下的后门程序

1先将templets 模板文件下载到本地,用批量替换工具将挂的黑链替换,并检查templets 模板有没有后门程序,如:php 为后缀结尾的,你都分析下,里面很有可能隐藏后门程序。

2对uploadfile 程序进行备份,下载到本地,检查有没有php 为后缀结尾的 并分析

3对数据库进行备份,并将备份下载到本地

4对整个程序进行备份,并下载到本地

5删除服务器上的整个网站,在dede官方,下载一个与你程序一致的版本,上传到服务器,并重新安装

6将 检查后的 :数据库,和 uploadfile 和 templets 上传覆盖 服务器

完成以上步骤后 挂的连接 已经被清楚,包括后面程序也被清理。

建议点1 apache/php-fpm进程帐号,不要使用网站所有者,否则会导致php程序对整个网站都有写入权限,导致文件很容易被篡改2上传目录, 日志目录设置成777, 以允许php写入文件3 上传目录,要关闭php运行功能.去掉php文件本身的执行权限,是不行的.得从apache/nginx上入手,如:location ~ "^/(upload|logs)"{ }这将让upload, logs目录下的文件无法被当成php文件运行(哪怕你自己手工在upload/下建立php文件,也无法运行)

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 怎样解决织梦DEDECMS网站后台被挂黑链

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情