「蘭塞網絡」
更多分類

Dedecms 漏洞頻出 給使用者的一些安全建議

2018-11-30

織夢(dedecms) 漏洞頻出,讓一些站長惶恐,不過掌握一些基本知識可以讓你在遇到這些問題時,不再那么害怕與無助。

  不管是最近的用戶發表文章自定義模版漏洞還是這個carbuyaction.php 本地包含文件漏洞,還是之前的什么會員中心上傳發表漏洞,有沒有發現他們都有一些共同點?

  首先都要進入會員中心操作,再次都要先上傳一個圖片文件(這個所謂的圖片文件是包含PHP腳本的改了后綴的偽造文件)然后再利用程序漏洞,將這些圖片中包含的PHP代碼轉化執行,進而得到webshell,對你的站點進行掛馬等操作。

  了解了漏洞的執行過程,我們在防范時,就會容易得多:

  1、經常查看程序官方公告,一般都會及時給出補丁程序,及時更新。

  2、如果你的網站會員中心沒什么用處,直接將會員模塊/member/ 目錄刪除,利用者沒有會員中心,即無從上傳,可避免大部分漏洞。

  3、如果你還要用會員中心,那么能不要上傳的就關閉上傳,盡可能減少被上傳木馬的風險。

  如果你做了以上操作,還是中招了,學會從網站訪問日志(IIS日志)中分析問題,以被上傳的木馬名為關鍵字,在日志中搜尋,一般可以得到一些信息,利用者是從哪個位置上傳了木馬。

  烈火補充:

  DedeCms中 data、templets、uploads、html、special、images、install目錄設置為不允許執行腳本,其它目錄禁止寫入,系統將更安全,操作步驟如下:

  打開IIS管理器,右擊網站-屬性-將執行權限的“純腳本”改為“無”,這樣,即使有黑客程序傳到相關目錄,也不會有執行權限,保證系統安全

本文由網站優化專家-濟南蘭塞網絡技術有限公司小編收集整理而成,僅供蘭塞平臺代理用戶學習使用,切勿用作他途!  qdswwl。com


快三平台-首页 现金网-首页 极速11选5-首页 5分3D-首页 十分快三-首页 分分3D-首页