本文是为了防止更多织梦站长被灰色产业侵害!

最近在DEDECMS群里听到很多老铁讨论被挂马的事情,轻则是被黑进后台种马,重则整个服务器被提权,织梦安全这么差的原因主要是开发团队解散,已经一年多没有更新新版本,织梦这种老牌cms漏洞是在所难免的。

织梦最常见挂马的位置的是:/images、/include、/data/sessions、/data/tplcache、/dede/templets、/plus、/uploads
通过服务器网站日志不难看出,一般这些叼毛都是使用软件在爬各种系统的核心目录,基本应对方案是更改dede、data、plus、include这几个目录名称,修改的时候需要主要源码的目录名也要改掉,改名方法百度一大把请自行百度。
uploads绑定二级域名、资源放根目录、m目录绑定二级域名、修改放模板的上级目录 /templets/default/ 的名字,robots文件不要暴露文件位置,这几个小手段能够避免部分有心之人。

进入正题,以下地方按需要进行修改
.htaccess 文件中加入以下禁止代码,请注意data、templets、uploads目录名对应

RewriteCond % !^$
RewriteRule a/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]

删除/install、/special、/member(member目录根据网站情况来删除)
删除dede目录中含有的漏洞文件(可选删除)

/tpl.php 文件上传管理系统文件,有FTP上传文件就够了
/mytag_*.php、/mytag_tag_*.php   自定义标记管理**

删除plus目录中所有用不上的模块(根据网站情况来删除)

/bookfeedback.php、/bookfeedback_js.php   图书评论和评论调用文件,存在注入漏洞,不安全
/bshare.php 分享插件
/ad_js.php  广告插件,新闻资讯站用到的,请勿删除
/car.php、posttocar.php、/carbuyaction.php    购物车
/comments_frame.php 调用评论,存在安全漏洞
/digg_ajax.php、/digg_frame.php  顶踩
/download.php、/disdls.php   下载和次数统计
/erraddsave.php 纠错
/feedback.php、/feedback_ajax.php、/feedback_js.php   评论
/stow.php   内容收藏
/task.php、/task/    计划任务
/guestbook/ 这个可以删掉

已知文件上传漏洞

一、在/include/dialog/select_soft_post.php中查找$fullfilename = $cfg_basedir.$activepath.'/'.$filename;它上面加入if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ShowMsg("你指定的文件名被系统禁止!","-1");exit();}二、在/include/uploadsafe.inc.php中查找$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";替换成$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml|htm|html";查找$image_dd = @getimagesize($$_key);它后面添加if($image_dd == false){ continue; }三、在/dede/media_add.php中查找$fullfilename = $cfg_basedir.$filename;它上面加入if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ShowMsg("你指定的文件名被系统禁止!","-1");exit();}四、//DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞在/dede/file_class.php 中查找else if(preg_match("/\.(".$fileexp.")/i",$filename))替换为else if(substr($filename, -strlen($fileexp))===$fileexp)

已知其他漏洞

一、在/include/taglib/flink.lib.php中查找删除else if($typeid == 999){里面的内容也删除}
二、在/dede/module_main.php中注释//向织梦官网发送卸载或安装插件的信息,若服务器配置不高,或不支持采集(下载),那会卡死!注释掉以下代码SendData($hash);在321行SendData($hash,2);在527行
三、在/include/dedemodule.class.php中将//版本检测代码,30分钟一次,要扫描文件的!为什么管理模块打不开的原因就在这里,网站配置低的,卡死!if(file_exists($cachefile) && (filemtime($cachefile) + 60 * 30) > time())修改为if(file_exists($cachefile) && filesize($cachefile) > 10)
四、在/include/common.func.php中将$arrs1 = array(...0x3e);删除

已知RemoveXSS漏洞

在/include/helpers/filter.helper.php中
搜索$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);
在其上面添加$val = dede_htmlspecialchars($val);//注意:php5.4以下版本则没有htmlspecialchars函数可用代替dede_htmlspecialchars

已知SQL注入漏洞

一、在/include/filter.inc.php中搜索return $svar;修改为return addslashes($svar);搜索${$_k} = _FilterAll($_k,$_v);替换为 ${$_k} = addslashes(_FilterAll($_k,$_v));
二、在/include/dedesql.class.php中搜索//$this->safeCheck = TRUE;$this->safeCheck = FALSE;     //关闭恶意访问拦截替换为$this->safeCheck = TRUE;       //如果搜索功能报错,请将这里关闭//$this->safeCheck = FALSE;     //关闭恶意访问拦截搜索if(isset($GLOBALS['arrs1']))前面加上$arrs1 = array(); $arrs2 = array();

细节方面
/images、/include、/data/common.inc.php、/dede、/plus这几个目录设置为只读:对应权限555
以上就是预防挂马的最新方法!
被挂马之后可以下载D盾扫描网站木马程序,并进行清理

织梦CMS5.7最新织梦有效防挂马清马,织梦漏洞修补全!2019-8-30更新相关推荐

  1. php多城市分站cms,织梦dedecms内核最新全国多城市分站地区插件

    源码介绍 织梦DEDECMS内核最新全国多城市分站地区插件 织梦城市分站插件系统使用说明 温馨提示:使用前请先备份网站,以防万一. 1.系统设置: 核心设置-- 是否使用伪静态:是 其他选项-- 模板 ...

  2. 织梦网站巧用标签实现图片自动Alt功能,强化织梦seo效果

    织梦网站巧用标签实现图片自动Alt功能,强化织梦seo效果 很多织梦网站的站长筒子们在做网站的时候,在网站中有时候会插入图片,尤其是那些使用图片类型织梦模板的站长筒子,在使用图片集的时候,会用到很多的 ...

  3. 新闻网站模板html4,织梦新闻文章门户网站模板,Html5响应式高权重网站织梦模板...

    织梦新闻文章门户网站模板,Html5响应式高权重网站织梦模板 模板基于织梦CMSv57sp2开发.运行环境已升级并完全兼容PHP5.6. 模板结构以黄金比例分割.更加符合用户人群体验. 该门户网站模板 ...

  4. 2023计算机毕业设计SSM最新选题之javaJava防作弊的电子投票系统rgobs

    2023计算机毕业设计SSM最新选题之javaJava防作弊的电子投票系统rgobs 大学毕业设计,一般都是自己或者几个同学一起弄,lunwen都是去,百度,图书馆找很多资料参考,(就是把里面都了,自 ...

  5. 2023最新ChatGPT网站源码+支持ChatGPT4.0+支持Midjourney绘画+用户会员套餐+后台管理+一键更新版本

    2023最新ChatGPT网站源码+支持ChatGPT4.0+支持Midjourney绘画+用户会员套餐+后台管理+一键更新版本,支持手机电脑不同布局页面自适应. ChatGPT商用网站源码搭建安装教 ...

  6. 基于织梦Cms5.7 utf-8版本的仿今日头条微信小程序模块插件的使用和安装

    微信小程序端源码可根据自己的需求进行更改.直接上示例图: 下载织梦Cms小程序服务端模块后,在织梦后台,打开模块->上传新模块 : 在左边的菜单栏就可以看到这个"微信小程序" ...

  7. 织梦CMS5.7版自动给图片添加alt属性的方法

    搜素引擎看不懂图片,通过给图片添加alt属性,有助于搜索引擎判了解这是一张什么图片,利于搜索引擎优化,在SEO优化中,图片ALT属性描述很重要,图片alt属性就是对图片进行描述的文字.描述中可以加入网 ...

  8. 织梦cms5.7搭配php哪个版本,DedeCMS V5.5正式版正式发布(Build-0912)

    文件类型:.zip 软件大小:4.2MB 下载次数: 软件类别:国产软件 软件语言:简体中文 授权方式:共享软件 运行环境:PHP4.x.5.x + MySQL4.x.5.x 更新时间:2009-09 ...

  9. 织梦5.7sp1最新问题:后台不显示编辑器

    1.在后台的"系统基本参数"里修改"站点设置"的"网页主页链接:空". 2.修改"核心设置"DedeCMS安装目录:空& ...

最新文章

  1. linux 命令窗口美化,美化你的命令行终端Terminal
  2. 先写API文档还是先写代码?你需要这款神器Apifox!
  3. R方差分析(anova)以及Tukey检验
  4. 今日 Paper | 模态平衡模型;组合语义分析;高表达性SQL查询;多人姿态估计模型等
  5. linux服务器的搭建配置与应用,linux服务器的搭建与配置
  6. Eclipse中导入项目后js报错解决方法
  7. 面试:史上最全多线程面试题 - (锁内存模型线程)
  8. Sharepoint学习笔记—Site Definition系列-- 5、List Definition与List Template之比较
  9. 光伏发电对系统冲击大 “十三五”电力规划重点增强调峰能力
  10. 介绍两款Docker可视化工具
  11. shell脚本每日一练(一)
  12. Python 面试总结
  13. HDFS SnapShot原理
  14. 漏洞检测方法如何选?详解源代码与二进制SCA检测原理
  15. centOS6.6虚拟机启动后登陆界面无法显示
  16. phpmyadmin安全预防
  17. DPDK收发包全景分析
  18. CentOS 7, apm+xcache, rpm包, php module
  19. objdump和 readelf 的区别
  20. 易语言卷帘菜单与json_易语言卷帘式菜单组件使用教程

热门文章

  1. Typora使用技巧(二):侧边栏大纲视图折叠
  2. 大数据解决方案如何实施
  3. 【每日一道智力题】之海盗分金币(上)
  4. python字符串成熟编码_Python——搞定烦人的字符串编码
  5. Eclipse Vaadin Plugin插件安装
  6. 怎么调整Word中编号和文字中间的空格距离?
  7. 2017年1月10号
  8. 有关AudioTrack播放服务端传过来的音频有强电流声的问题
  9. Ubuntu 镜像文件
  10. 广义加性模型和树模型