如何有效防止DEDE织梦系统被挂木马安全设置(仅供参考)

尊敬的客户,您好!
    感谢广大客户对我司工作的信任和支持! 
    我司在最近的一个多月内陆续发现多起因 DedeCMS 安全漏洞造成网站被上传恶意脚本的事件,入侵者可利用恶意脚本对外发送大量数据包,严重占用CPU资源与服务器带宽,影响极为恶劣。为保证服务稳定,即日起一旦发现网站存在此类恶意脚本,我们将立即暂停该网站的服务直到问题修复。如果您正在使用 DedeCMS,请立即检查是否已经存在恶意脚本,并更新程序到最新版本或应用相关补丁。
    迄今为止,我们发现的恶意脚本文件有
    plus/ac.php
    plus/config_s.php
    plus/config_bak.php
    plus/diy.php
    plus/ii.php
    plus/lndex.php
    data/cache/t.php
    data/cache/x.php
    data/config.php
    data/cache/config_user.php
    data/config_func.php等等
    大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
    有关此安全漏洞的更多信息和手动修复方法,请查阅 DedeCMS 官方说明:"http://bbs.dedecms.com/354574.html" (dedecms的官网论坛在升级中暂时无法访问)
    也可参考我司帮助中心文档"http://www.gzidc.com/faq.php?action=view&id=486&Itemid=36"
  
    感谢您的理解与支持!
如何有效防止DEDE织梦系统被挂木马安全设置(仅供参考)
第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plus\guestbook留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php
再有:
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
时间: 2024-10-09 23:39:13

如何有效防止DEDE织梦系统被挂木马安全设置(仅供参考)的相关文章

Dede cms文章内容管理系统安全漏洞!如何有效防止DEDE织梦系统被挂木马安全设置

第一.安装Dede的时候数据库的表前缀,最好改一下,不要用dedecms默认的前缀dede_,可以改成ljs_,随便一个无规律的.难猜到的前缀即可. 第二.后台登录一定要开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合. 第三.装好程序后务必删除install目录!!! 第四.将dedecms后台管理默认目录名dede改掉,随便改个不好猜的没规律的. 第五.用不到的功能一概关闭,比如会员.评论等,如果没有必要通通在后台

dede织梦5.7的安全防护设置

dede安全是一直令人堪忧的,但是其用来建网站很方便,如果我们使用dede来建站,一定要做好安全防护工作. 下面总结一下dede织梦5.7的安全防护设置 1.更改管理员名称和密码,尽可能设置的复杂一下,一般是大小写字母数字和特殊符号12位以上 2.强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT): 3.管理目录改名,最好是改成MD5形式的,最好长点,我一般改成20位大小子字母数字. 4.如果是使用HTML可以把plus下的相应文件和根目录下

Dede织梦系统的一键清空回收站以及批量删除所有文章方法

最近搞dede采集,提起织梦相信大家都不陌生,我在第一次搞采集的时候,由于不会写规则,并且也不是单独的采集一篇文章,而是列表里的文章一次性全部采集,等导出数据的时候,我和小伙伴都惊呆了,采集过来的新闻几乎都是缺胳膊少腿,刚开始也是一篇一篇的删,很是恼火,然而,下面这SQL语句却帮了我大忙,一次性把回收站都清空了. 希望对于和我有同样遭遇的人士有帮助,附上语句: 方法: 后台->系统->SQL命令行工具 中运行: delete dede_addonarticle,dede_archives,de

dede织梦如何防止被黑客入侵渗透?

dede精简设置篇:避免被hack注射挂马 精简设置篇:不需要的功能统统删除.比如不需要会员就将member文件夹删除.删除多余组件是避免被hack注射的最佳办法.将每个目录添加空的index.html,防止目录被访问.织梦可删除目录列表:member会员功能 special专题功能 install安装程序(必删) company企业模块 plus\guestbook留言板 以及其他模块一般用不上的都可以不安装或删除. 密码设置篇:管理员密码一定要长,而且字母与数字混合,尽量不要用admin,初

记一次DEDE织梦网站恢复的经历

前言:一个处于瘫痪的网站,之前使用DEDE织梦搭建,由于之前被挂马,被迫关停,好在程序有备份,数据库已经恢复并清理,DEDE系统升级之后,显示主页为空白内容. 解决过程: 1.拿到管理员用户密码之后,登陆dede后台发现,栏目信息为空白,刚开始怀疑是数据库信息被清理,后来排查发现数据库有两个栏目表,只是前缀不同,后来通过查找网上信息发现,dede可以在安装过程中进行自定义,默认是dede_开头的表,所以怀疑可能是数据库连接表错误: 2.查找dede的数据库连接配置文件data/common.in

织梦系统dedecms如何开启伪静态

做为一名网站建设工程师,必须要考虑到网站优化方面的工作,那么选择CMS系统的时候,有良好的网站 优化功能就是一个好的CMS的标准之一,而系统是否支持伪静态,则是URL优化的工作之一,而织梦系统能良好的支持伪静态功能,这就是很多se oer爱好织梦系统的原因之一. 接下来,我们讲解下如何开启织梦系统的伪静态. 1.系统伪静态功能开启 打开dede后台,点击系统基本参数,然后点"核心设置",找到"是否使用伪静态:"(或者页面内搜索,参数比较多),选择是,如下图所示: 2

安全配置织梦系统初探参考[转载]

Dedecms是我们站长用得最多的建站系统,但是问题漏洞也多,曾经就有一个站把我给害苦了,当时刚入门SEO,备份什么的都还不懂,好不容易辛辛苦苦 优化上来的网站,一夜之间就泡汤了,啥  都没有了,你们肯定懂我的心情,之后就通过各种查资料,怎么来让织梦系统更安全,你只要做到以下几点,可以保证你的织梦网站不是很牛的人物是不能入侵 的.本人淘宝:http://xarxf.taobao.com/ 小矮人鞋坊, 欢迎各位网友的支持. 1.下载最新版的织梦系统 无论是什么程序,最新版的都会是最好的,里面打了

dede织梦data目录正确迁移及引起的问题解决方法

关于将dede织梦data目录迁移出web目录织梦官方提供了一个教程,但是如果你是按照他们提供的教程做的话会出现很多问题.比如验证码问题, 图片显示问题等等一大堆.织梦官方这种是很不负责任的,因为那个教程有很大缺陷.这里跟大家提供一个完整版本的如何将dede织梦data目录正确迁移, 以及按照官方版本教程迁移出现问题的解决办法.这里先看看官方的吧,然后我再补充. 1.将data目录转移到非Web目录 我们这里举例“D:\dedecms\v57”为我们系统的根目录,我们需要将目录下的data文件夹

dedecms织梦系统后台验证码图片不显示的解决方法

网站迁移后,dedecms织梦系统后台验证码图片不显示的解决方法通用解决方案-取消后台验证码功能因为没有验证码,不能进后台,所以修改php文件源代码:方法一:打开dede/login.php 找到如下代码    if(($validate=='' || $validate != $svali) && preg_match("/6/",$safe_gdopen)){        ResetVdValue();        ShowMsg('验证码不正确!','logi