用DEDECMS搭建网站的安全篇：默认模板路径漏洞

应该是你没有权限访问那个页面。

403常见错误代码：

403 禁止访问：访问被拒绝

4031 禁止访问：执行访问被拒绝

4032 禁止访问：读取访问被拒绝

4033 禁止访问：写入访问被拒绝

4034 禁止访问：需要使用 SSL 查看该资源

4035 禁止访问：需要使用 SSL 128 查看该资源

4036 禁止访问：客户端的 IP 地址被拒绝

4037 禁止访问：需要 SSL 客户端证书

4038 禁止访问：客户端的 DNS 名称被拒绝

4039 禁止访问：太多客户端试图连接到 Web 服务器

40310 禁止访问：Web 服务器配置为拒绝执行访问

40311 禁止访问：密码已更改

40312 禁止访问：服务器证书映射器拒绝了客户端证书访问

40313 禁止访问：客户端证书已在 Web 服务器上吊销

40314 禁止访问：在 Web 服务器上已拒绝目录列表

40315 禁止访问：Web 服务器已超过客户端访问许可证限制

40316 禁止访问：客户端证书格式错误或未被 Web 服务器信任

40317 禁止访问：客户端证书已经到期或者尚未生效

40318 禁止访问：无法在当前应用程序池中执行请求的URL

40319 禁止访问：无法在该应用程序池中为客户端执行CGI

40320 禁止访问：Passport 登录失败

服务器理解客户的请求，但拒绝处理它。通常由于服务器上文件或目录的权限设置导致。通常情况可能（但不限于此）的原因有：原因1：apache配置文件中没有对站点目录的权限许可，这通常是在初始安装apache后，更改了默认的apache站点目录时所至（重要，常发生）：如将站点目录更改为：/var/www，则在apache配置文件中如果不加下面的配置 就会返回403错误。<Directory "/var/www"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all</Directory>提示：生产环境上面的配置还需修改,见下文，此处仅就本文的主题讲解。原因2：站点目录下无首页文件(index文件)，而apache的配置又禁止了目录浏览，就会提示403错误，配置如下（偶尔发生）：a站点目录下无首页文件(index文件)：[root@http-server www]# pwd/var/www[root@http-server www]# lltotal 12drwxr-xr-x 2 root root 4096 Jun 4 22:11 chen-rw-r--r-- 1 root root 0 Jun 4 22:11 chenhtml提示：上面列出来的就是站点目录/var/www目录下没有预设 首页DirectoryIndex indexhtmlbapache的配置禁止目录浏览的三种配置第一种配置:<Directory "/var/www"> Options -Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all</Directory>第二种配置:<Directory "/var/www"> Options FollowSymLinks AllowOverride None Order allow,deny Allow from all</Directory>第三种配置:<Directory "/var/www"> Options None AllowOverride None Order allow,deny Allow from all</Directory>原因3：还是Directory权限问题（不常发生）如下文：拒绝10000/24整段访问。这样被拒绝的主机访问就会出现403错误<Directory "/var/www"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny Allow from all Deny from 10000/24</Directory>

<Directory "/var/www"> Options Indexes FollowSymLinks AllowOverride None Order allow,deny #Allow from all Allow from 1000116 #Deny from 10000/24</Directory>原因4：站点目录权限问题（不常发生）。站点目录需要apache的用户有访问权限，否则就会报403错误。[root@http-server var]# pwd/var[root@http-server var]# chown -R rootroot blog/[root@http-server var]# chmod 700 blog[root@http-server var]# ll -d blog/drwx------ 3 root root 4096 Jun 4 22:11 blog/

本分参考自需详细可点击：http://oldboyblog51ctocom/2561410/581383

本文出自 “叫醒你的不是闹钟而是梦想” 博客，请务必保留此出处http://purifyblog51ctocom/10572011/1792344

如何使用mysql(lamp)分离环境搭建dedecms织梦网站及apache服务器常见的403http状态码及其解决方法

标签：apache服务器常见的http状态码及其解决方法dedecms搭建dedecms搭建步骤403403forbidden

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

第一步：打开"/include/commonfuncphp"，该文件56版本默认存在，55的不存在自己建一个。

然后在该文件中加入一个函数，代码如下：

function pasterTempletDiy($path)

{

require_once(DEDEINC"/arcpartviewclassphp");

global $cfg_basedir,$cfg_templets_dir;

$tmpfile = $cfg_basedir$cfg_templets_dir"/"$path;//模版文件的路径

$dtp = new PartView();

$dtp->SetTemplet($tmpfile);

$dtp->Display();

}

在模板页用以下代码替换原因的调用头部代码

<php pasterTempletDiy("default/headhtm");>

用户名，密码复杂性，即使hack拿到密码也不容易逆转破解；后台目录务必重命名，越复杂最好；关注官方网站，跟相应的杀毒软件，定时修补补丁，定时查杀多余php文件；

后台设置，删除多余会员，关闭会员功能，系统基本参数-会员设置，互动设置等限制；

精简设置，不需要的功能都删掉，每个目录下加一个空的indexhtml,防止目录被访问；可删除的功能：member，special，install（必删），company（企业模块），plus\guesbook留言板等一般用不上的功能；

可以删除不必要但容易受攻击的文件（再文件夹下搜索即可）：file_manage_controlphp，file_manage_mainphp，file_manage_viewphp，media_addphp，media_editphp，media_mainphp,downloadphp(没有下载功能)，feedbackphp(评论功能)这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。它简直就是小型挂马器，上传编辑木马忒方便了。一般用不上统统删除) 。

不需要SQL命令运行器的将dede/sys_sql_queryphp 文件删除。避免HACK利用。

不需要tag功能请将根目录下的tagphp删除。不需要顶客请将根目录下的diggphp与diggindexphp删除。

为了防止HACK利用发布文档，上传木马。请安装完成后阻止上传PHP代码。到此基本堵上了所有上传与编辑木马的可能性。(在50以上的版本本身已经作好修改了,这点经测试比较过的)

织梦权限设置，

1>include,plus,member等附加组件 可读取 不可写入 执行脚本（纯脚本）

data、templets、uploads,images 可读写 不可执行（执行权限无）

2>设置iis权限，去掉user权限，自己设置一个权限；目录设置、不允许执行脚本：

织梦关闭自定义表单前台预览，删除友情链接申请功能；网站提交登陆一定要有验证码，防止hack暴力破解，提交。

也可以使用第三方安全插件：如360网站卫士，DedeCms万能安全防护代码等也可以使用织梦自带的木马查杀攻击：系统—病毒扫描—开始扫描，删除织梦系统以为的php文件；