如何防止黑客利用新的DeDeCMS漏洞入侵

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

织梦CMS收费意味着什么？

作为一款使用率非常高的免费开源内容管理系统，织梦CMS一直以来都是不少站长、企业搭建网站时的首选，据官方资料，目前有超过35万个网站在使用织梦的产品，这次收费通知一出来，想必有不少网站都会受到影响。

那句话怎么说来着？天下没有免费的午餐。更何况我们使用了织梦CMS提供的源码，为正版付费其实也应该是理所当然的。

在织梦CMS是否该收费这个问题上其实无需过多讨论，退一万步说，这是人家自己的东西，收不收费都是他们的自由。

但另一个问题确实不少人应当考虑的：“织梦收费之后还要不要用？要不要转移阵地？”

这一问题对于有能力自己提供源码独立建站的大企业来说自然不算难题，但对于国内绝大多数不具备这一能力的企业或个人而言就比较头疼了。

目前开源CMS产品很多主要对个人非商业用途免费，而对商业用途也是收费的。

那除开CMS以外还有什么其他的选择呢？

这个问题并不难，SaaS系统服务+低代码（无代码）建站的模式就能够在一定程度提供另一条解决途径！

目前国内的SaaS服务市场已经较为成熟，SaaS不仅适用于中小型企业，几乎所有规模的企业都可以通过SaaS提高效益、获得利润。

SaaS产品涵盖各个行业，在搭建企业网站的方面，而SaaS服务商提供的功能中也包括了搭建企业官网。

以LTD营销SaaS中台为例，用户在使用LTD营销SaaS时，可以通过LTD的自助建站平台搭建网站，通过这种方式可以实现低代码、无代码建站，在当下的局面下正好可以消除用户们最担心的问题。

此外，LTD营销SaaS还为用户提供定制建站服务，有着专业人士为你搭建专业企业官网，造型更精致、功能更强大、且无须担心源码问题，建站无门槛，企业和个人都可以通过LTD搭建自己理想的网站。

面对织梦CMS收费导致的“去留问题”，企业要不就支付授权费，继续按照过去的模式，保持不变；或者也可以尝试一下SaaS+低代码（无代码）建站的新体验

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

我们完成了环境的准备之后，下面就可以通过在浏览器中输入安装向导的网址开始进行DedeCMS的安装，在安装完成之后我们就可以看到我们的站点。

我们下载下来通常是一个压缩包，将其解压，然后将upload文件夹中的文件上传到网站的根目录中。

提示：安装包解压后，一般含有使用协议、安装说明及版本说明几个文件，新人在第一次使用的时候希望阅读下相关的说明。

1我们在浏览器中打开http://你的网址/install/indexphp ，开始进行安装。

2选中“我已经阅读并同意此协议”点击继续，这里系统跳转到环境检测页面。

这里我们对系统环境做一个简单的说明：

DedeCMS是基于PHP和MySQL技术开发，可以同时使用在Windows、Linux、Unix平台，其具体环境如下：

◆Windows 平台 IIS/Apache + PHP4/PHP5 + MySQL3/4/5

如果在windows环境中使用，建议用DedeCms提供的DedeAMPZ套件以达到最佳使用性能。

◆Linux/Unix 平台 Apache + PHP4/PHP5 + MySQL3/4/5 (PHP必须在非安全模式下运行) 建议使用平台 Linux + Apache22 + PHP52 + MySQL50

◆PHP必须环境或启用的系统函数 [√]allow_url_fopen [√]GD扩展库

[√]MySQL扩展库 [√]系统函数（phpinfo、dir）

2如果环境检测全部正确（[√]），我们点击“继续”进入“参数配置”

3首先我们配置“数据库设定”部分的参数，这里我们涉及到几个概念“数据库主机”、“数据库名称”、“数据库用户”、“数据库密码”、“数据表前缀”、“数据库编码”。

如果您使用的是虚拟主机或者合租服务器，一般空间商都会提供给你相关的数据，如果你是自己配置服务器或者本地测试，一般在环境架设时候会有相关的信息提示。

以 DedeAMPZ为例，因为Apache和MySQL共同安装在一台计算机上，所以数据库主机地址为“localhost”，数据库名称我们这是设置为默 认“dedecmsv53”，数据库用户名为“root”、密码为MySQL数据库默认密码“123456”，表前缀为“dede_”。

说 明：数据表前缀是为了方便一个数据库中存放多个程序的数据库，例如你一个数据库需要安装两个DedeCMS系统，第一个系统数据表前缀可以设置为 “dedea_”，第二个数据表可以设置为“dedeb_”，因为表前缀不同，数据表在数据库中存在的表名也不相同，例如第一个系统的管理员账号存放的数 据表则为“dedea_admin”，第二个数据表名为“dedeb_admin”，这样他们两个系统的数据库就可以共存在一个Mysql数据库中。

4网站设置中需要注意的是填写你的“网站网址”和“CMS安装目录”，其中“CMS安装目录”如果你安装在网站根目录不需要去理会，如果你安装在根目录的某个文件夹下需要进行相关的设置（程序会自动检测）。

5点击“继续”，完成DedeCMS的安装，到这里为止，我们的安装已经完成了，下面就是我们开始使用DedeCMS

6点击[登陆网站后台]，网址自动转向到http://wwwyoursitecom/dede/loginphp(yoursite代表你的网站)，输入我们安装时候填写的管理员用户名和密码，以超级管理员身份登陆系统。

提示：系统默认管理路径是dede，登陆管理后台可以通过地址http://wwwyoursitecom/dede/loginphp进行访问，但是为了确保系统的安全，建议新人在安装完成之后修改后台的管理路径，例如：myadmin，这样你可以通过http://wwwyoursitecom/myadmin/loginphp登陆，别人就不容易猜到你的后台地址。

DedeCms是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统。作用是构建域名为com、cx、cn、cc、net等中小型网站。中文名织梦，管理系统名称PHP开源。

DedeCm经超过20万以上站长级用户群经过长达4年之久的广泛应用和复杂化环境的检测，系统在安全性、稳定性、易用性方面具有较高的声誉，倍受广大站长推崇。 DedeCms采用PHP+MySQL技术开发，程序源代码完全开放，在尊重版权的前提下能极大地满足站长对于网站程序进行二次开发。

扩展资料

DedeCms的运行环境

1、Windows 平台

IIS/Apache + PHP4/PHP5 + MySQL3/4/5 如果在windows环境中使用，建议用DedeCMS提供的DedeAMPZ套件以达到最佳使用性能。

2、Linux/Unix 平台

Apache + PHP4/PHP5 + MySQL3/4/5 (PHP必须在非安全模式下运行) 建议使用平台：Linux+ Apache22 + PHP52 + MySQL50。

3、PHP必须环境或启用的系统函数

allow_url_fopen GD扩展库 MySQL扩展库 系统函数 —— phpinfo、dir。

-织梦 （PHP开源网站内容管理系统）

dedecms和phpcms是什么？

dedecms简介

织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，目前的版本无论在功能，还是在易用性方面，都有了长足的发展和进步，DedeCms免费版的主要目标用户锁定在个人站长，功能更专注于个人网站或中小型门户的构建，当然也不乏有企业用户和学校等在使用该系统。

phpcms简介

PHPCMS是一款网站管理软件。该软件采用模块化开发，支持多种分类方式，使用它可方便实现个性化网站的设计、开发与维护。它支持众多的程序组合，可轻松实现网站平台迁移，并可广泛满足各种规模的网站需求，可靠性高，是一款具备文章、下载、、分类信息、影视、商城、采集、财务等众多功能的强大、易用、可扩展的优秀网站管理软件。

PHPCMS由国内80后知名创业者钟胜辉（网名：淡淡风）于2005年创办，是国内知名的站长建站工具。2009年，PHPCMS创办人钟胜辉离开PHPCMS，创办国内针对媒体领域的CMS产品CmsTop（思拓合众）。

大体试用了一下三个系统，得出了一个比较粗浅的结论：

1、phpcms：

phpcms自2007版本开源以后才开始引起广泛关注，但这次也是头一次研究。用了几天，有了一点初步的印象。（以下以2007版为例，2008版尚未正式推出）

粗看起来，phpcms 2007是三者中最为完善的，各项功能考虑的很细致，导致进了新手进了后台先要晕半天才行。各项功能，比如UNIX系统的权限、模版修改、广告、商城、信息、单网页。。。。都做的相当的完备了。

发表文章的关键字、作者、来源、自动远程保存等等，都做的不错。但是，phpcms发表文章的摘要，似乎是只能自动截取，不能手工设置，灵活性欠佳。

发表的文章可以通过关键字来索引相关贴，做的不错。

支持通行证方式进行论坛和其它系统的整合，可以进行正向和反向两种方式的整合。但是文档说的不太清楚，研究了半天才成功。但是反向整合pw501登录后自动跳转不回来。

phpcms 2007的后台安排的太琐碎，看的头晕。发一篇文章也要晕半个钟头，而且首页的更新莫不清规律，幻灯片老半天不更新。

phcms尽管功能很强大，但是却缺少一样重要的东西：可视化的模版工具，这也是php168和dedecms共同的缺点。在这方面，他们甚至不如刚刚起步的DiyPage好，DiyPage只是一个刚刚具备了雏形的CMS系统，却拥有一个很方便的后台可视化界面设计工具，即使是菜鸟也可以轻松设计界面（虽然灵活性没那么强大，但是足够你用了）。

phpcms 2007整体以频道为依据进行组织，即使你不想用频道，哪也得用，这个已经由不了你了 。所以如果仅仅是一个比较简单的网站，也用上一个频道，看起来够别扭的，这是phpcms 2007最大的缺点，不过看了phpcms 2008beta2发现，phpcms终于解除了这个垃圾限制。

发现phpcms的广告功能似乎不完善，一个广告位定义了两个广告，不能自动轮换，总是显示第一个。

phpcms虽然实现了模块化，但是不管你用不用，一大堆模块稀里呼噜就装上了，看起来很不爽，也不直观。

phpcms虽然是很早就是商业化运作的软件，然后开发效率却是不高，新版本屡屡跳票，影响了它的产品形象，让开源以来积累的人气和一些拥趸大失所望。然而最近贴上了六间房以后，资金应该是没有压力了，新版本也开始浮出水面，2008beta1已经发布了，可惜问题多多。

phpcms 2008 beta2 在 MySQL4 上还是有使用问题，不过比beta1强一些，beta1直接就安装不了，不知道正式版是否会正式放弃MySQL4。

phpcms 2008beta2看上去不错，新功能令人振奋的，界面清爽。以前一团乱麻的后台界面已经打扫干净了。phpcms 2008的标签采用了中英文混合的方式，对菜鸟来说更加容易上手，比较新颖。另外，beta2好像是实现了类似php168的可视化模版中的标签设置方式，虽然不是可视化的设计模版，总归可以自定义一些元素样式了。不过这个beta2版也还是顶多算是个预览版，BUG极多，功能不全。如果准备用phpcms的话，怕是还要大大的等几天才行。

另外，phpcms官方论坛对免费版的支持很不到位，伤了很多粉丝的心。

2、dedecms

51应该是dedecms正式商业化运作以后推出的第一个版本吧？以前的dedecms个体作坊式的发展，由于作者兼职时间和精力不足，导致发展缓慢，新版本频频跳票，引起广大粉丝的强烈不满，甚至导致柏拉图和dedecms用家之间的语言冲突。然而dedecms在商业化运作以后，新版本的发布周期大大缩短，产品功能不断改进，界面美化了很多，人气和用户数量大大增长了，现在看发展势头不错。

dedecms的根目录是最简单的，只有几个文件，比以上两个都强多了，其实这样不仅看起来清爽，维护起来也方便，值得表扬

dedecms的频道非常费解，看起来只有频道模型，要增加频道就要添加模版文件有点费解，仔细研究发现，这个dedecms其实和php168的方式差不多，任何栏目都可以添加子目录，绑定域名，其实就和频道是一个意思，栏目和频道可以互相转换。

dedecms的通行证只支持反向整合，就是dedecms可以用服务端的用户数据登录。其实所谓整合，一般也就是这样的。论坛用整站用户数据的情况恐怕极为少见，对论坛管理也不利。

但是dedecms的通行证整合，需要修改论坛文件，不明白为啥要这样，是因为论坛的通行证功能还不完善吗？

dedecms的广告管理用起来比较麻烦，要先定义标签，然后手工在模板中插入。好像模版上没预定义好广告位置，实在是太不应该了。。。。相当于手动操作，不符合当今历史潮流啊。而且大家常用的广告自动轮换功能，也没有实现。

试用发现，dedecms有时还有一些小毛病，比如远程附件功能，有时发现无法自动转存到本地。另外，在模块数量上，dedecms也无法和php168和phpcms相比，只有文章、下载、、Flash等基本的功能，不知道dedecms 2007发布以后能否有所改观

dedecms的相关文章、热点文章等功能，用了静态生成的方式直接写入到了HTML文件中，这样在生成HTML后，无法自动更新，需要经常手工重新生成全部HTML才能更新相关文档和热点文档。但是大量的重复生成所有HTML文件效率太低下了，这方面dedecms不如php168最新添加的相关文章功能，是用JS方式实现的，不需要更新HTML就能自动索取最新的相关文章。但是使用JS方式也存在服务器效率的问题。

dedecms的首页、列表页、还有文章页都使用了单独的模板，没有使用header和footer模板，这样的好处是可以产生各种风格的页面（允许首页、列表页、内容页使用不同的风格），但是缺点是修改添加头部和底部广告、导航条的时候，相当费劲，要一个一个模板的修改。而且dedecms的版权声明字段设置太小，只有250字节，写不进去多少内容，顶多能添加个计数器就不错了。

dedecms起步就用了类似XML标签方式，而且官方还提供了Dreamweaver的插件来识别标签，应该说在国内是比较独到的。但是这种方式也需要新手一定的时间才能适应。同时，dedecms一直缺乏比较完善的文档，也进一步加大了菜鸟上手的难度。

dedecms最大的问题就是没有提供类似Diypage的可视化设计方式，因为标签比较难于上手，对新手来说做模板是很头疼的问题。

dedecms 51比40功能有了很多进步，增加DIGG功能，还有类似分类信息之类的功能都实现了。不过也有退步，比如关键词、相关帖功能都严重退步了，发帖也很不方便，而且dedecms在商业版本和免费版本之间做功能和代码区分，也自然会在免费版本上有所缩水。

dedecms商业化发展以后，目前出现的问题是免费版的技术支持做的不太到位，比phpcms强不了多少。

3、php168

php168关注很久了，却一直没怎么用过。当年整合论坛的30版给俺很深的印象，可惜论坛没有坚持下去。最近php168的开发工作很强劲，推出了N多模块，让人看的眼晕。

看过了phpcms的后台，再进php168的后台，感觉舒服多了，简洁多了，但是功能还可以。

php168的频道不是强制的，好像是栏目和频道可以转换，灵活性比phpcms强多了

关键字功能没有实现相关贴功能，不爽（新版本已经增加了，用JS方式实现的动态调用）。

php168一直不是用通行证实现整合论坛，这方面做的不好，灵活性欠佳。需要CMS和论坛安装在同一个数据库才行。

首页的标签设置，php168提供了一个可视化的工具，可以直接在上面设置标签，修改标签属性，这方面做的比phpcms强多了。虽然不能设计主页模板，但是可以方便的修改首页模板中元素的内容和显示方式，对菜鸟来说比较不错。dedecms的标签提供（或者公布）的属性比较少，想定制样式是比较麻烦的，目前可能是需要直接用PHP语句来修改。

但是要实现广告功能，还是要像dedecms一样，先定义标签，然后手工修改模版，有点太麻烦了，汗。另外，好像也没实现广告自动轮换功能（）。

php168实现了模块化，可以一个一个的装，看起来比phpcms清爽多了

php168页面模板也是使用了标签方式，但是模板代码好像是类似phpwind的方式（这不奇怪，php168的作者本来就是从phpwind插件开发开始的），代码和模板的分离程度比较差，这个东西其实是个双刃剑，因为用php代码方式，灵活度是最大的，也不用像dedecms一样，标签难以上手，扩展困难；但是缺点也很大，就是不懂编程的人士难以上手，特别是美工和程序的分离不彻底（php168的官方模版就不如dedecms漂亮，不知道是不是这个原因）。

php168比dedecms多了一个可视化的首页标签定制功能，能设置首页元素的显示内容，显示方式，这是比dedecms略强了一些，有总比没有强啊。

因为php168研究的比较少，其它功能没仔细测试过，就不多讲了。总体来说，如果php168能稍加完善，其实是一个相当不错的整站程序。