关于织梦dedecms的问题

开学了，返校了，又在宿舍上网了，但现在的校园网安全吗暑假中，DeDeCMS系统曝出了严重的漏洞，这个系统在很多学校的校园网中存在，黑客利用该漏洞就可以控制校园网，进行挂马、嵌入病毒……不过校园网中不乏电脑高手，下面我们就来看看“红帽”同学对自己学校网站的开学安全检测。

我的网名叫“红帽”，我猜每一个大学校园里，都有像我这样的一号人，我们对电脑充分的了解，面对互联网海洋时，就如同游泳池中的菲尔普斯一样。无论你需要找到什么东西，只要它存在于互联网之中，或者在互联网中生活过一段时间，我都能够帮助你找到源头，或者帮你把你感兴趣的东西弄到手。你猜对了，我就是黑客，活跃在校园里面的黑客。

我自认为算是高手，帮同学从别的黑客手里**回被窃的账号，在网吧让一个讨厌鬼不停的更换电脑，也曾经尝试着入侵NASA的计算机网络。

这段日子正是开学的日子，我准备对我的学校网站进行了一次安全检测。或许你要问，为什么要对自己学校的网站进行安全检测我们学校用了DeDeCMS系统(中文名称是织梦内容管理系统)，这个系统在很多学校中被使用。

博弈主题：攻击DeDeCMS整站系统

技术难度：★★★★

重点知识：如何用新的DeDeCMS漏洞来入侵

DeDeCMS系统被很多学校使用并不能让我产生检测自己学校的网站的念头，真正让我产生这个念头的原因是这个系统最近曝出了严重的漏洞，不知道网管补上该漏洞没有，如果没有补上，大家回校后上校园网就危险了。

DeDeCMS身藏URL编码漏洞

这次DeDeCMS新出的漏洞是一个URL编解码漏洞，导致漏洞出现的原因是DeDeCMS的设计者在joblistphp、guestbook_adminphp等文件中对orderby参数未做过滤。黑客可以利用这些漏洞查询数据库的敏感信息，例如管理员密码、加密key等，一旦这些敏感资料被黑客掌握，要在校园网内挂马就是轻而易举的事情了，真危险。

小知识：编码是将源对象内容按照一种标准转换为一种标准格式内容。解码是和编码对应的，它使用和编码相同的标准将编码内容还原为最初的对象内容。编解码的目的最初是为了加密信息，经过加密的内容不知道编码标准的人很难识别。

实战入侵

既然知道了漏洞的成因，下面就来亲手检测一下。目前有两种方案可以实现DeDeCMS整站系统的入侵，一种是PHP脚本的入侵方案，采用这种方案，需要先在自己的本机调试好PHP解析环境，然后登录入侵的目标网站，在PHP环境中运行漏洞测试代码。不过这种方案实行起来相对复杂，因此我使用第二种进行检测，通过漏洞检测注入程序直接注入。

首先，登录学校的网站。然后打开《DeDeCMS漏洞注入检测程序》，点击“Target

Infomation”标签选项，在“URL”一项后面将寻找到的有DeDeCMS系统漏洞的网址复制粘贴到地址输入框，这里利用DeDeCMS的网站路径地址“/include/htmledit/indexphp”得到网站的物理路径。

在登录系统之后，复制浏览器地址栏中的网站路径，例如[url=http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren]http://wwwhackercom/dedecms5/include/htmledit/indexphpmodetype=basic&height[]=chinaren[/url]，然后复制粘贴提交测试，粘贴完成后点击“Check”按钮，测试网站是否符合条件

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

1、这个是显示时间的代码

你可以随便放到一个位置 一般放到header的一个位置

<script language="javascript">

function showtime()

{

var today,hour,second,minute,year,month,date;

var strDate ;

today=new Date();

var n_day = todaygetDay();

switch (n_day)

{

case 0:{

strDate = "星期日"

}break;

case 1:{

strDate = "星期一"

}break;

case 2:{

strDate ="星期二"

}break;

case 3:{

strDate = "星期三"

}break;

case 4:{

strDate = "星期四"

}break;

case 5:{

strDate = "星期五"

}break;

case 6:{

strDate = "星期六"

}break;

case 7:{

strDate = "星期日"

}break;

}

year = todaygetYear();

month = todaygetMonth()+1;

date = todaygetDate();

hour = todaygetHours();

minute =todaygetMinutes();

second = todaygetSeconds();

if(month<10) month="0"+month;

if(date<10) date="0"+date;

if(hour<10) hour="0"+hour;

if(minute<10) minute="0"+minute;

if(second<10) second="0"+second;

documentgetElementById('time')innerHTML = year + " 年 " + month + " 月 " + date + " 日 " + strDate +" " + hour + ":" + minute + ":" + second; //显示时间

setTimeout("showtime();", 1000); //设定函数自动执行时间为 1000 ms(1 s)

}

</script>

<div id="time"></div>

<script language="javascript"> showtime();</script>

2、DEDE默认是有会员登录框的 你可以去自己更改样式

3、页面可以设置成你想要的分辨率

4、不用再买mysql了 一个就可以用了 不会冲突

2011-8-19 DedeCMS全局变量初始化存在漏洞

描述：可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

2012-3-21 DedeCMS官方源码被植入后门

描述：导致黑客可以执行任意代码从而控制整个网站或服务器

2013-3-29DedeCMS安全漏洞

描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复

2013-4-1DedeCMS 爆SQL注入漏洞

描述：乌云平台曝光， “0day”，官方已修复

2013-5-2DedeCMS“重安装”高危安全漏洞

描述：被发现“0day”，通知官方修复并启用临时修复方案

2013-6-4DedeCMS 高危安全漏洞

描述：此漏洞为“0day”，官方已修复

2013-9-30DedeCMS 57版本高危漏洞

描述：乌云白帽子上报，“0day”，跨站脚本漏洞，可在前台插入恶意JS代码，黑客已经利用

2014-1-6DedeCMS会员投稿跨站脚本漏洞

描述：攻击者可通过“会员投稿”插入恶意代码，后台管理审稿时“中招”可导致网站被黑

2014-2-17swfuploadswf跨站漏洞

描述：该漏洞乌云平台上报，站长反馈网站在检测时检测出此漏洞，已提供修复方案

2014-3-4DedeCMS多个安全漏洞

描述：包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复

2014-03-05dedecmsV5738 GBK正式版20140305常规更新补丁 member/soft_addphp修复功能错误及存在的漏洞member/soft_editphp修复功能错误及存在的漏洞include/filterincphp修复功能错误及存在的漏洞2014-03-11dedecmsV5739 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732fxml新增畅言模块include/helpers/channelunithelperphp模板标签解析功能完善include/inc/inc_fun_funAdminphp更新提示站点迁移完善include/taglib/flinklibphp友情链接标签缓存完善2014-03-13dedecmsV5740 GBK正式版20140313常规更新补丁 include/helpers/channelunithelperphp修复一个标签解析错误2014-11-28DEDECMS官方网被黑，黑客在织梦服务器端植入恶意代码，所有织梦用户访问后台时会提示下载1exe文件，该程序为后门，一旦下载便会感染成为远控端，而且该病毒会实现反复感染。如果用户为IE浏览器，则会直接感染成为远控端。

织梦DedeCms全站伪静态，是为了更方便管理和SEO，织梦DedeCms默认是生成静态html文件的，对于优化已经非常友好，但还是有部分页面是动态形式的（比如：Tag标签页面、网站内容搜索页面、DedeCms问答页面等），为了是这些页面更好的被搜索引擎收录，就需要进行伪静态了，虽然织梦DedeCms系统可以生成静态html文件，但如果每天更新内容量特别大的话，对于生成html文件也成为系统和人力的一个负担，那么也可以做成伪静态形式，这样就免去了不断繁琐的生成html文件了。

将DedeCms全站静态化，这就需要mod_rewrite伪静态模块的支持。只要站长对htaccess正则表达式精通，就可以把dede整站静态

化，更符合搜索引擎，而且还可以避免重复URL来。DedeCms全站伪静态配置有些麻烦，主要是需要我们手动修改源代码。整理步骤如下：

1、首先开启站点伪静态功能。登录dede管理员后台->系统->系统基本参数->核心设置->是否使用伪静态 请选择“是”。

2、修改源程序，实现首页伪静态、频道页伪静态、列表页伪静态、文章页伪静态，这是过程比较复杂，不如其它php开源程序操作简单。

3、制作编写htaccess和htaccess文件规则，上传到DedeCms的安装目录。

织梦DedeCms全站伪静态教程:含列表|文章|问答|搜索|TAG伪静态规则：

1、网站服务器和网站空间是否支持伪静态：

这点特别重要，要么所以设置都不起作用。如果你的网站使用的是服务器，那么就可以自己动手设置一下，如果是空间的话，可以询问下IDC服务商客服，看是否

支持伪静态（一般空间都是支持伪静态的）。Apache服务器伪静态相对简单，直接在htaccess文件中加入相应伪静态规则即可；而IIS服务器伪

静态的实现，则需要加载Rewrite组件，然后配置httpdini文件。

2、开启DedeCMS伪静态：

1)织梦DedeCms后台-系统参数-核心设置-是否使用伪静态：选择“是”；

2)如果你启用了织梦DedeCms问答模块，则在后台-系统参数-模块设置-是否使用Rewrite：选择“是”；

3)创建栏目或批量增加栏目时，栏目列表选项：选择“使用动态页”； 添加新文章时，发布选项：选择“仅动态浏览 ”。同样你也可以更改他们的模板，让他们默认就是这两个值，一劳永逸。修改方法很简单，方法如下：

找到后台文件：/dede/templets/catalog_addhtm 修改添加栏目时默认“使用动态页”

<td height="26" style="padding-left:10px;">栏目列表选项：</td>

<td><input type='radio' name='isdefault' value='1' class='np' checked="checked" />链接到默认页

<input type='radio' name='isdefault' value='0' class='np' />链接到列表第一页

<input type='radio' name='isdefault' value='-1' class='np' />使用动态页</td>

改为下面代码

<td height="26" style="padding-left:10px;">栏目列表选项：</td>

<td><input type='radio' name='isdefault' value='1' class='np' />链接到默认页

<input type='radio' name='isdefault' value='0' class='np' />链接到列表第一页

<input type='radio' name='isdefault' value='-1' checked="checked" class='np' />使用动态页</td>

找到后台文件：/dede/templets/article_addhtm 修改添加文章时默认“仅动态浏览”

<td width="90">发布选项：</td>

<td width="379"><input name="ishtml" type="radio" class="np" value="1" checked="1" />生成HTML

<input type="radio" name="ishtml" class="np" value="0"/>仅动态浏览 </td>

改为下面代码

<td width="90">发布选项：</td>

<td width="379"><input name="ishtml" type="radio" class="np" value="1" />生成HTML

<input type="radio" name="ishtml" class="np" value="0" checked="1"/>仅动态浏览 </td>

4）如果网站已经存在生成的静态栏目或文章HTML，那么只需在后台-系统-SQL命令行工具 中执行如下语句：

update dede_arctype set isdefault=-1;

update dede_archives set ismake=-1;

注：命令中dede是网站安装时的数据表前缀，根据实际情况进行替换。

3、开启DedeCms伪静态支持并不能完全在后台配置，有很多地方还是需

要手动修改的。下面讲解DedeCms全站伪静态的实现方法，适用于V53以上版本。这次的DedeCms伪静态测试环境是Windows

IIS6，对于Linux或其它服务器的伪静态实现原理都是一样的，只要搞清楚思路就行。

1）DedeCms首页伪静态：

把站点根目录下indexhtml删除，以后不更新主页HTML就可以了，当然你也可以选择不使用动态首页。

2）DedeCms频道|列表页|文章页伪静态：

主要通过修改GetFileName()、GetTypeUrl()这两个函数实现。DedeCms V53、DedeCms

V55和DedeCms V56版本，打开/include/channelunitfuncphp进行修改。注意：DedeCms

V57，此文件路径更改了，你打开/include/helpers/channelunithelperphp即可。

A将GetTypeUrl()中的如下代码：

　　//动态

　　$reurl = $GLOBALS['cfg_phpurl']"/listphptid="$typeid;

　　替换为

　　//动态

　　$reurl = "/category/list-"$typeid"html";

　　这步必须修改，即让你的频道或是列表页URL变更为/category/list-1html形式。

　 B将GetFileName()中的如下代码：

　　//动态文章

　　if($cfg_rewrite == 'Y')

　　{

　　return $GLOBALS["cfg_plus_dir"]"/view-"$aid'-1html';

　　}

　　替换为

　　//动态文章

　　if($cfg_rewrite == 'Y')

　　{

　　return "/archives/view-"$aid'-1html';

　　}

　　将文章页默认的/plus/view-1-1html链接格式改为/archives/view-1-1html，随个人喜好，不改也行。　

3）DedeCms列表分页伪静态：

　　打开/include/arclistviewclassphp，找到获取动态的分页列表GetPageListDM()函数末尾处：

　　$plist = str_replace('phptid=', '-', $plist);

　　替换为

　　$plist = str_replace('plus', 'category', $plist);//将默认的plus替换成category

　　$plist = str_replace('phptid=', '-', $plist);

　　将列表分页默认链接格式/plus/list-1-2-1html修改为/category/list-1-2-1html，这步也可以不作更改。

4）DedeCms文章分页伪静态：

　　打开/include/arcarchivesclassphp，找到获取动态的分页列表GetPagebreakDM()函数末尾片：

　　$PageList = str_replace("phpaid=","-",$PageList);

　　替换为

　　$plist = str_replace('plus', 'archives', $plist);//将默认的plus替换成archives

　　$PageList = str_replace("phpaid=","-",$PageList);

　　这步不作修改也可以，只是个人喜好问题。

5）DedeCmsTAG标签伪静态：

　　DedeCms默认的TAG标签URL，形如/tagsphp/dedecms57/，特别的难看。打开/include/taglib/taglibphp，找到lib_tag()函数下的：

　　$row['link'] = $cfg_cmsurl"/tagsphp/"urlencode($row['keyword'])"/";

　　替换为

　　$row['link'] = $cfg_cmsurl"/tags/"urlencode($row['keyword'])"/";

　　到这里，TAG标签URL中的“php”号就去掉了。

6）DedeCms搜索伪静态：

　　DedeCms搜索URL静态化比较麻烦，附带参数多不说，参数也可能变化，像搜索结果分页的URL就特麻烦，伪静态规则匹配复杂。将搜索URL中“searchphp…”直接替换为“searchhtml…”，至于“”号之后的参数以任意字符进行匹配。

　　依次打开include文件夹下的channelunitfuncphp、arcsearchviewclassphp、

arctaglistclassphp以及/include/taglib/hotwordslibphp，查找“searchphp”替

换为“searchhtml”即可。

7）DedeCms问答伪静态：

　　问答模块的伪静态实现比较简单，只要后台开启伪静态支持即可，至于个别页面，如ask目录下的browserphp、questionphp以及

include目录下的commonincphp、functionsincphp都需要简单修改才可以匹配伪静态规则。注意一

点，DedeCms V57问答模块整体升级了，之前的规则已经不适用了。

4、DedeCms伪静态规则：

依照上面的步骤修改完毕，接下来配置好httpdini文件和htaccess文件伪静态规则，则DedeCms全站伪静态就完美实现。

1）IIS伪静态

　　打开httpdini文件，加入如下规则：

　　#首页伪静态规则，如果不使用动态首页，请勿必删除这一行，否则打开首页会出现死循环

　　RewriteRule ^()/index\html $1/index\php [I]

　　#列表页伪静态规则

　　RewriteRule ^()/category/list-([0-9]+)\html $1/plus/list\php\tid=$2 [I]

　　RewriteRule ^()/category/list-([0-9]+)-([0-9]+)-([0-9]+)\html

$1/plus/list\php\tid=$2&TotalResult=$3&PageNo=$4 [I]

　　#文章页伪静态规则

　　RewriteRule ^()/archives/view-([0-9]+)-([0-9]+)\html $1/plus/view\php\arcID=$2&pageno=$3 [I]

　　#搜索伪静态规则

　　RewriteRule ^()/search\html(:(\)) $1/search\php$2 [I]

　　#TAG标签伪静态规则

　　RewriteRule ^()/tags\html $1/tags\php [I]

　　RewriteRule ^()/tags/()(:(\)) $1/tags\php\\/$2 [I]

　　RewriteRule ^()/tags/()\/(:(\)) $1/tags\php\\/$2\/ [I]

　　RewriteRule ^()/tags/()\/([0-9])(:(\)) $1/tags\php\\/$2\/$3 [I]

　　RewriteRule ^()/tags/()\/([0-9])\/(:(\)) $1/tags\php\\/$2\/$3\/ [I]

　　#问答伪静态规则，适用于DedeCmsV53-56版本，需要修改几处程序

　　RewriteRule ^()/post\html $1/post\php [I]

　　RewriteRule ^()/type\html $1/type\php [I]

　　RewriteRule ^()/question-([0-9]+)\html $1/question\php\id=$2 [I]

　　RewriteRule ^()/browser-1-([0-9]+)\html $1/browser\php\tid=$2 [I]

　　RewriteRule ^()/browser-2-([0-9]+)\html $1/browser\php\tid2=$2 [I]

　　RewriteRule ^()/browser-1-([0-9]+)-([0-9]+)\html $1/browser\php\tid=$2&page=$3 [I]

　　RewriteRule ^()/browser-2-([0-9]+)-([0-9]+)\html $1/browser\php\tid2=$2&page=$3 [I]

　　RewriteRule ^()/browser-([0-9]+)\html $1/browser\php\lm=$2 [I]

　　RewriteRule ^()/browser-1-([0-9]+)-([0-9]+)\html $1/browser\php\tid=$2&lm=$3 [I]

　　RewriteRule ^()/browser-2-([0-9]+)-([0-9]+)\html $1/browser\php\tid2=$2&lm=$3 [I]

2）Apache伪静态：

打开htaccess文件，加入如下规则：

　　#提供部分规则作参考

　　RewriteRule ^category/list-([0-9]+)\html$ /plus/listphptid=$1

　　RewriteRule ^category/list-([0-9]+)-([0-9]+)-([0-9]+)\html$ /plus/listphptid=$1&totalresult=$2&PageNo=$3

　　RewriteRule ^archives/view-([0-9]+)-([0-9]+)\html$ /plus/viewphpaid=$1&pageno=$2

RewriteRule ^indexhtml$ indexphp

　　接触帝国cms已经有一些时间了，最近又接触了dedecms，下边就说说最新的感受。

　　1首先从模板方面来说，dedecms的免费模板还是比较多的，这个得益于广大的dede用户共享。dede的官方模板可以直接使用。而帝国的官方提供的模板是table格式的，比较偏老了。当然如果你有一定html和css基础的还是自己来做的好，毕竟dedecms官方默认模板对于百度收录来讲并不是很好了现在。

　　2论坛的人气，帝国cms和dedecms的人气还都可以，热心程度感觉帝国cms比dedecms高些。

　　3版本的更新，帝国以大版本形式更新，dedecms以小版本形式更新，总体来说dede版本快于帝国。

　　4安全方面：dedecms关注的人比较多，市场占有率相当的高，因而成为黑客的挂马对象，入侵率比较高，容易被黑，而帝国cms而言安全方面则比较好。

　　5说说使用者最关心的模板制作方面：dedecms的模板标签设计相对帝国cms来说比较更容易入手，从本人自己制作的网站对比，相同的模板页数，dedecms的模板制作速度要快于帝国cms。

　　6seo优化方面，dedecms要比帝国cms稍胜一筹。

　　7伪静态生成速度，由于小数据量，无法对比出效果。不过从帝国cms最新的动态来看，才用新结构的帝国cms对于海量数据的处理更有优势。

　　8模板修改方面，由于帝国的模板在后台进行编辑，要比dedecms的更方便修改。

　　9个人对比，两个站分别用dedecms和帝国cms收录相对较快的是帝国cms，这个可能跟网站性质和结构内容运作也有关系。