展开

关键词

总结一些防止dedecms系统被攻击的方法

总结一些防止dedecms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。 1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称如diy_2.装好dede织梦cms系统后删除装install3.修改织梦后台目录:把默认的dede改成其他名字4 .织梦后台后台密码尽量复杂化:密码应该由大写字母、小写字母和数字组成5.将系统的data目录迁移到根目录以外:data目录是系统缓存和配置的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患 ,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以我们建议将这个data目录搬移出Web可访问目录之外6.不用会员系统,就把member整个全部7.用不到留言本,就把plus下的guestbook 删除11.用不到企业模块可以把company删除12.不用下载发布功能可以把管理目录下soft__xxx_xxx.php删除13.删除后台的式管理器:通过后台的式管理器,可以修改网站的任何

73240

网站老是被攻击 无法打开 多年安全经验与您分享

,2.全部删除install安装3.假如无需应用会员还可以立即全部删除member目录绝大多数黑客入侵dedecms公司网站就是说运用会员章投稿功能,提交木马。 三.限制网站目录被执行、写入dedecms程序代码公司网站还可以做下列设定1.下列目录:data、templets、uploads、a设定可读写不可以执行权限。 现阶段许多应用discuz和phpwind设计的公司网站也被侵入就是说因为关键目录和权限都没有设定好。四.公司网站被攻击之后怎样才能解决? 1.用备份数据覆盖2.都没有备份数据的话,找到近期被改动的,检查这些是不是含有恶意程序。3.找到网站源代码多了一个的,重中之重留意公司网站根目录是不是有不明。 网站所应用的程序代码不同需要繁杂许多,可是搞好上述的工作,公司网站大部分是没那么容易被侵入的,即便被侵入了也无需太过担心,只需用心检查也是可以找到被恶意改动的的。

21820
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    DEDECMS系统安全篇之移data目录到Web根目录以外听语音

    ,后台配置 3根目录下的index.php 织梦DEDECMS系统的data目录主要是基本配置和缓存数据的。 这里以本地根目录为例:D:xampphtdocs,htdocs是站点的根目录。 2 移动最简单的方式就是剪切再粘贴。如图所示,data已移到与htdocs同一目录了。 原因是data就是放置后台页面基本配置和缓存数据的。那怎么办?很简单,重新在配置里重新配置data的路径就可以了。其实移动data,对整个系统影响很多地方。以下会谈到的。 (详见 织梦dedeCMS系统安全篇之修改默认后台管理目录 ),刷新后又可正常访问了。 7 除了要在共同中修改common.inc.php的配置外,还要在配置tplcache缓存目录。 因为前面说了,data目录主要是基本配置和缓存数据的

    5510

    dedecms网站迁移时记得将安装目录放空 附迁移的正确方法

    dedecms为例,用ftp将本地建好的传到网站上,重新生成档出现了很多错误,相对路径要改,最重要的是系统配置参数的安装目录要放空,否则会提示错误。?   dedecms网站迁移的正确方法:  1.首先登录织梦的后台,进入到“系统》数据库备份还原”栏目。?   2.将备份好的数据传过去,备份一般是在织梦程序根目录下的data下的backupdata  3.将模板传过去  4.进入到“系统-》数据库备份还原-》右上角数据还原-》左下角开始还原数据 ”  5.设置相应的系统配置,特别是开始所说的将安装目录设为空  6.生成html,全站更新。

    41730

    老母亲给你整理了DEDECMS漏洞集合,快回家!

    cookie是否进行了伪造,因此要进行cookie就自然想到要获取DedeCMS-V5.7-UTF8-SP2uploadsdataconfig.cache.inc.php中的内容,需要存在任意读取或下载的漏洞 前台任意删除0x00 相关环境源码信息:DedeCMS-V5.7-UTF8-SP2-20180109 问题DedeCMS-V5.7-UTF8-SP2uploadsmemberalbum_add.php 漏洞类型:任意删除 站点地址:http:www.dedecms.com0x01 漏洞分析问题在DedeCMS-V5.7-UTF8-SP2uploadsmemberalbum_add.php的第 漏洞类型:后台任意上传 站点地址:http:www.dedecms.com0x01 漏洞分析在DedeCMS-V5.7-UTF8-SP2uploadsincludedialogselect_images_post.php 而在DedeCMS-V5.7-UTF8-SP2uploadsincludedialogselect_images_post.php的第55行-62行中,取的后缀名进行拼接和上传操作。

    6K70

    使用kodexplorer将dedecms系统网站秒变私有网盘

    国内草根站长用的最多的一款建站源程序就是dedecms,通常是通过FTP或者服务器面板自带的管理器来上传下载的。 今天介绍一个可以跟dedecms系统搭配使用的管理器——KODExplorer可道云在线资源管理器。借助可道云可以在几分钟内将你的dedecms网站增加私有网盘功能。 KODExplorer可道云只需要PHP环境(PHP 5.2+),而dedecms系统运行环境为NginxIISApache + PHP5PHP7 MySQL45 或 SQLite,所以不需用复杂的操作就能轻松搭建带网盘功能的网站 (或者在本地下载,用ftp软上传到网站中) 2.下载或者上传好之后,在网站根目录上创建一个kod,或者你自己想要的名字。 3、将下载好的kodexplorer解压到你新建的下面 4、到这一步已经安装成功,登录访问。http:你的域名kod(这里为你创建的名字),设置好密码之后就可以登录使用了。

    65830

    杨校老师课堂之DeDeCMS建站_程序安装

    基于Linux操作系统、PHP开发环境、MySQL数据库、Apache服务器的集成开发环境软还是有很多的,DeDeCMS官方提供了DeDeApZ、还有Apmserver、PHPStudy等软。 本采用PHPStudy作为基础的集成开发环境进行搭建DeDeCMS系统。----1. 安装PHPStudy1.1 下载PHPStudy ?? ----1.2 安装PHPStudy双击安装软,安装路径中不可以有中汉字和空格等特殊字符 ??----1.3 运行PHPStudy?----2. 在首页中的套内启动Apache2.4.39? ----本地搭建DeDeCMS系统将upload内的所有拷贝到小皮(PhPStudy)服务器的根目录内。 打开服务器根目录 ?? 拷贝upload内的所有到根目录内 ? 拷贝完成后效果: ? 注释以下代码:$(function(){ $.get(index_testenv.php,function(data) { if(data !

    14910

    dedecms安装

    安装之前需要准备空间可以正常使用PHP+MYSQL空间数据库用户名和密码第一步:下载后解压uploads到指定的内(我这使用的wwwdedecms,本例用网站目录代替)第二步:在地址栏输入 http:您的域名dedecms(如果你在本地测试那么就是http:localhostdedecms)第三步:同意安装协议,点击继续第四步:环境检测,如果都符合要求则点击继续第五步:参数配置选择需要的模块安装 如果不是测试用途,请修改初始用户名和密码)这里填写网站名称和网站网址(这里需要注意的是网站网址和安装目录不要改动即可)初始化数据(如果你特别下载了数据包可以选中)然后点击继续第六步:完善安装删除install ,把后台dede改为你喜欢的名字(我这里改为Admin),这样登陆后台入口就成了您的域名+安装目录+您修改的后台名字(我的为:http:localhostdedeAdmin)附:后续将续写 dedecms学习入门的一些经验和经历

    60570

    dedecms织梦目录权限安全设置

    a  因为是静态目录,并且在要生成HTML的,所以拒绝脚本执行  允许写入 data   因为是缓存等,所以充许写入,但是因为这里面的引入到其它地方进行使用,所以要拒绝脚本执行 dede  后台管理目录 并且这个一般情况下不需要修改,所以允许脚本执行,拒绝写入 images   仅是存系统图片, 所以拒绝脚本执行,拒绝写入 include  虽然这个目录有系统库,一般情况下也是引入到其它地方使用,但是也有一些需要执行 系统部署之后,这个就没有用了 member  如果不使用会员系统,这个目录也可以直接删除。 plus  这个插目录,不需要修改的,允许脚本执行,拒绝写入 special   这个专题,一般我们会改名。 index.php 可以通过修改代码解决,如果你不需要三级联动功能,可以移出data

    10320

    织梦dedeCMS安装导入恢复方法

    那么正开始,倒腾dedecms第一步开始首先第一步,把下载的织梦包上传到服务器。然后解压。 (这一步要注意,有些模板是不能在二级目录运行的,也就是说你可以解析到二级域名,但不能放到二级)上传解压完成后,访问http:你的网址installindex.php  一般适配好的源码会直接跳转到安装页面 如果无法直接进入安装页面,而是出现了一个空白页面写着dir 或者是一个 错误页面那么请删除install中的 install.lock.txt 和 index.html  ,并且把index.php.bak 默认的后台路径为dede  为了安全起见,可以重命名根目录的这个。重命名后的名称就是后台路径。然后进入后台开始导入主题数据?点击数据还原后,点击底部的 开始还原数据?恢复完成后,出现如下页面。? 至此dedecms站点初步导入运行完成

    30720

    确保DedeCMS建站程序安全需要做的几事情

    虽然DedeCMS织梦程序已经很久没有更新升级,但是依旧有很多人在使用。比如我们可以看到市面上有很多第三方的DedeCMS主题和插,从生态角度看,目前DedeCMS算是国产CMS程序中使用最多的。 那我们就只使用其核心的章功能,其他的所谓会员功能,扩展功能都禁止或者删除。第二、管理目录修改默认我们应该知道dede就是DedeCMS程序的后台管理入口。 之前老蒋还做过一事情,目录修改和删除,等需要更新章的时候再上传后台管理。 第三、目录权限问题老蒋经常看到有些网友在使用FTP管理网站目录的时候有些时候无法上传或者编辑,于是将所有的目录都设置777权限,这样是很危险的。理论上我们是将目录设置644,设置755。 总之,DedeCMS在功能和易用性上确实是不错的,但是安全这个问题也是需要关注的。本出处:老蒋部落 » 确保DedeCMS建站程序安全需要做的几事情 | 欢迎分享

    7940

    从信息收集到getshell

    ,退而结茧 成吉思航00x01 信息收集 拿到目标url云悉指纹搞一波,指纹没匹对出来,回到网站 虽然没匹对出指纹,但随便浏览个网页看到url总感觉是什么那就谷歌一下灵感不就来了,那么初步判断有可能是dedecms ,上个御剑扫一下目录看看,看到个photo我觉得大有章,访问一下我的天啊,出来了,还真是dedecms,访问url确定一下:没错了,确定为织梦CMS搭建的网站,那怎么确定用的织梦什么版本呢,我们可以这样判断 photodataadminver.txtGoogle搜索一下,锁定一下版本应该为5.7左右确定了版本之后,其实我们从前面的信息(容器版本:apache2.2,存在install)可以大致的锁定一个漏洞 ----织梦远程包含漏洞00x02 Getshell 利用条:首先,是目标站安装完cms后并没有删除install,其次网站建站容器版本过低,当Apache检测到一个有多个扩展名时,如1.php.bak 在外网VPS创建一个dedecmsdemodata.a.txt具体操作如下:1 mkdir dedecms2 echo >dedecmsdemodata.a.txt3 python3 -m http.server

    29010

    dedecms还原数据时要选对备份目录 不然会提示function出错

    小李子最近在学习dedecms,在网上下载了一个二次开发的系统,顺利安装后想要还原一下作者的备份数据,可一直没有成功,让ytkah查看一下什么情况。 进到后台,点击还原,提示eclassfunction.php某段代码没有定义,打开ftp查看了那个的修改时间和其他的修改时间一样,查看了那段代码也没有修改过的痕迹,那应该是其他方面的问题。 但是ftp打开发现data目录下的backupdata被改名了,加了一个前缀,难怪会出现错误,所以我们在迁移网站的时候一定要注意数据备份目录要和实际的目录一致。   附dedecms数据备份还原教程  系统 - 数据库备份还原?  1.dedecms数据备份?   2.dedecms数据还原?  进入到数据还原页面后,系统会自动去找databackupdata里面备份的数据,如果存在备份的就显示在页面上,最后点击【开始还原数据】按钮,还原我们备份的数据

    52770

    CVE-2018-20129: DedeCMS V5.7 SP2前台上传getshell漏洞预警

    0x00 漏洞背景2018-12-11 在CVE中申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码。 随后 includedialogselect_images_post.php 进行图片的校验,在这里可以明显的看到逻辑错误,这里针对名中的异常符号进行了替换为”的操作,并且随后的正则过滤条限定宽松 0x02 修复建议1.后缀名检测进行重写。 2.对上传名进行统一重命名,后缀名只允许为image type类型。 3.对上传进行限制,不允许执行php。 $#i, $imgfile_name))0x03 时间线2018-12-11 CVE中申请站进行细节公开2018-12-21 360CERT发布预警0x04 参考链接CVE-2018-20129:DedeCMS V5.7 SP2前台上传漏洞 – CVE中申请站

    81530

    织梦DedeCMS章内容页面添加阅读更多功能方法

    一般我们会使用织梦DedeCMS程序搭建内容类型的网站,而且有些内容单篇章是比较长的。于是我们是不是看到有些网站在教程的内容篇幅中下面添加有【阅读更多】或者类似【阅读全】的功能。 这里如果我们也有需要将DEDECMS织梦程序实现章内容页添加阅读更多功能的话可以效仿下面的办法进行页面处理。当然,如果我们准备修改页面之前,最好是将页面备份,万一修改错我们还可以去复原。 1、修改:includearc.archives.class.php然后我们找到:$this->Fields = $this->addTableRow;这里我们最好通过查询方法进行找到定位。 $remotefile;创建远程$remotedir = preg_replace(#*\.html#, , $remotefile);$this->ftp->rmkdir($remotedir) 本出处:老蒋部落 » 织梦DedeCMS章内容页面添加阅读更多功能方法 | 欢迎分享

    5610

    DEDECMS伪随机漏洞分析

    一 、本篇本为“DEDECMS伪随机漏洞”系列第三篇:第一篇:《DEDECMS伪随机漏洞分析 (一) PHP下随机函数的研究》第二篇:《DEDECMS伪随机漏洞分析 (二) cookie算法与key随机强度分析 二 、碰撞点可能还存在其他碰撞点, 这儿仅找到两个: )1.用户主页1.1 限制条(中)要求开启会员功能1.2 代码分析? 自定义表单2.1 限制条(低)网站管理员需要为网站定义表单.下载了几套通过DEDECMS改造的模板, 都保留了该功能, 且大部分站点有自己的表单格式.或者说正常在使用的dedcms大部分都有表单: ) 碰撞data和hash?3. *本作者:光通天下,来自FreeBuf.COM

    24810

    CVE-2018-20129-DedeCMS V5.7 SP2前台上传漏洞复现

    0x01 漏洞概述DedeCMS 5.7 SP2版本中的uploadsincludedialogselect_images_post.php存在上传漏洞,远程攻击者可利用该漏洞上传并执行任意PHP 最新的DEDECMS系统存在前台上传漏洞,需要管理员打开会员中心,访问链接:http:127.0.0.1dedecmsmemberarchives_sg_add.php? 然后关闭邮审核,章审核以及会员不用知道管理目录就可以上传图片,需要分别修改如下代码,当然有些生产环境下的这些功能是正常的,所以其实并不用修改。??? 然后点击分类信息-发表章 ?点击图片,上传准备好的一句话图片。 ?使用bp抓包,然后修改名为php.gif.p*hp?发送得到shell响应链接:??然后使用菜刀访问即可链接??? 0x04 漏洞修复1.后缀名检测进行重写。2.对上传名进行统一重命名,后缀名只允许为image type类型。3.对上传进行限制,不允许执行php。

    1.3K40

    DedeCMS织梦设置删除章同步删除图片和附策略

    我们很多站长是否遇到这样的问题,比如我们开始建站的时候可能会更新不少的章,也有是通过采集获取的图。但是后续有可能考虑网站内容的变化调整,有些章是准备删除不要。 于是我们可能单篇、批量删除章,不过我们把章是删除,同时章中有的图片和附还在我们的图片中。虽然不影响网站的运营,但是大量的图片和附占据磁盘,确实比较麻烦。 主要是这些附图片不用,每次搬迁网站的时候还要搬走。就好比我们家里搬家一样,没用的东西其实没有必要搬走。所以这里需要考虑是否可以将DedeCMS织梦程序删除章的时候也同时将图片和附删除。 这里的解决方法是要修改DedeCMS系统核心的,毕竟基本上所有的程序都不带这样的功能,包括我们使用的WordPress默认也没有自带这个功能的,都需要后期的添加插或者代码修改实现。

    5920

    DedeCMS的两个小trick

    于是乎,就有了你现在正在阅读的这篇章。0x01 服务器任意(图片)删除漏洞漏洞产生在:memberedit_face.php? 看上图,$cfg_basedir是写死在配置中的再看 $oldface我全局搜索了一下,发现 $oldface 在当前中并没有定义,那我是否可以通过变量覆盖的方式来控制这个变量? 在 memberedit_face.php 第37行,限制了结尾后缀名是jpg、gif、png ,这是此漏洞最大的一个限制,似乎没法绕过。? 在 memberedit_face.php 第25行,限制了这个变量必须以 $userdir 的值开头,$userdir 即为储存当前用户上传头像的,$userdir = ‘uploadsuserup 在上传后抓包:?如图,我在上传图片的请求包中增加一个oldface参数,指向服务器根目录的一个图片,发包后就能成功删除。

    50690

    网站被黑提醒该站点可能受到黑客攻击,部分页面已被非法篡改

    大清早的一上班收到3个网站客户的QQ联系,说是自己公司的网站被跳转到了北京sai车,cai票,du博网站上去了,我们SINE安全公司对3个网站进行了详细的安全检测,发现这3个客户的网站都是同样的症状,网站首页 我们SINE安全技术通过对3个客户网站的代码的安全分析,发现都被攻击者上传了网站木马后门,php大马,以及一句话木马后门都被上传到了客户网站的根目录下,网站的首页都被篡改了,包括网站的标题,描述,TDK 都被改成了bo彩,cai票,du博的内容,客户说之前还原了网站首页,过不了多久还是被篡改,被跳转,导致客户网站在百度的权重直接降权,网站在百度的关键词排名都掉没了,损失惨重。 针对dedecms的sql注入漏洞进行了修复,清除掉网站存在的木马后门,对网站安全进行加固问题得以解决。 对dedecms的目录安全权限进行设置 data目录取消脚本执行权限,给与写入权限,templets模板也是同样的安全部署,取消php脚本的执行权限,开启写入权限,dede后台的目录给只读权限,uploads

    1.1K10

    相关产品

    • 数据安全审计

      数据安全审计

      腾讯云数据安全审计(Data Security Audit,DSAudit)是一款基于人工智能的数据库安全审计系统,可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券