织梦CMS5.7最新织梦有效防挂马清马,织梦漏洞修补全!2019-8-30更新
本文是为了防止更多织梦站长被灰色产业侵害!
最近在DEDECMS群里听到很多老铁讨论被挂马的事情,轻则是被黑进后台种马,重则整个服务器被提权,织梦安全这么差的原因主要是开发团队解散,已经一年多没有更新新版本,织梦这种老牌cms漏洞是在所难免的。
织梦最常见挂马的位置的是:/images、/include、/data/sessions、/data/tplcache、/dede/templets、/plus、/uploads
通过服务器网站日志不难看出,一般这些叼毛都是使用软件在爬各种系统的核心目录,基本应对方案是更改dede、data、plus、include这几个目录名称,修改的时候需要主要源码的目录名也要改掉,改名方法百度一大把请自行百度。
uploads绑定二级域名、资源放根目录、m目录绑定二级域名、修改放模板的上级目录 /templets/default/ 的名字,robots文件不要暴露文件位置,这几个小手段能够避免部分有心之人。
进入正题,以下地方按需要进行修改
在 .htaccess 文件中加入以下禁止代码,请注意data、templets、uploads目录名对应
RewriteCond % !^$
RewriteRule a/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php|htm)$ – [F]
RewriteRule uploads/(.*).(php)$ – [F]
删除/install、/special、/member(member目录根据网站情况来删除)
删除dede目录中含有的漏洞文件(可选删除)
/tpl.php 文件上传管理系统文件,有FTP上传文件就够了
/mytag_*.php、/mytag_tag_*.php 自定义标记管理**
删除plus目录中所有用不上的模块(根据网站情况来删除)
/bookfeedback.php、/bookfeedback_js.php 图书评论和评论调用文件,存在注入漏洞,不安全
/bshare.php 分享插件
/ad_js.php 广告插件,新闻资讯站用到的,请勿删除
/car.php、posttocar.php、/carbuyaction.php 购物车
/comments_frame.php 调用评论,存在安全漏洞
/digg_ajax.php、/digg_frame.php 顶踩
/download.php、/disdls.php 下载和次数统计
/erraddsave.php 纠错
/feedback.php、/feedback_ajax.php、/feedback_js.php 评论
/stow.php 内容收藏
/task.php、/task/ 计划任务
/guestbook/ 这个可以删掉
已知文件上传漏洞
一、在/include/dialog/select_soft_post.php中查找$fullfilename = $cfg_basedir.$activepath.'/'.$filename;它上面加入if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ShowMsg("你指定的文件名被系统禁止!","-1");exit();}二、在/include/uploadsafe.inc.php中查找$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";替换成$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml|htm|html";查找$image_dd = @getimagesize($$_key);它后面添加if($image_dd == false){ continue; }三、在/dede/media_add.php中查找$fullfilename = $cfg_basedir.$filename;它上面加入if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ShowMsg("你指定的文件名被系统禁止!","-1");exit();}四、//DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞在/dede/file_class.php 中查找else if(preg_match("/\.(".$fileexp.")/i",$filename))替换为else if(substr($filename, -strlen($fileexp))===$fileexp)
已知其他漏洞
一、在/include/taglib/flink.lib.php中查找删除else if($typeid == 999){里面的内容也删除}
二、在/dede/module_main.php中注释//向织梦官网发送卸载或安装插件的信息,若服务器配置不高,或不支持采集(下载),那会卡死!注释掉以下代码SendData($hash);在321行SendData($hash,2);在527行
三、在/include/dedemodule.class.php中将//版本检测代码,30分钟一次,要扫描文件的!为什么管理模块打不开的原因就在这里,网站配置低的,卡死!if(file_exists($cachefile) && (filemtime($cachefile) + 60 * 30) > time())修改为if(file_exists($cachefile) && filesize($cachefile) > 10)
四、在/include/common.func.php中将$arrs1 = array(...0x3e);删除
已知RemoveXSS漏洞
在/include/helpers/filter.helper.php中
搜索$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);
在其上面添加$val = dede_htmlspecialchars($val);//注意:php5.4以下版本则没有htmlspecialchars函数可用代替dede_htmlspecialchars
已知SQL注入漏洞
一、在/include/filter.inc.php中搜索return $svar;修改为return addslashes($svar);搜索${$_k} = _FilterAll($_k,$_v);替换为 ${$_k} = addslashes(_FilterAll($_k,$_v));
二、在/include/dedesql.class.php中搜索//$this->safeCheck = TRUE;$this->safeCheck = FALSE; //关闭恶意访问拦截替换为$this->safeCheck = TRUE; //如果搜索功能报错,请将这里关闭//$this->safeCheck = FALSE; //关闭恶意访问拦截搜索if(isset($GLOBALS['arrs1']))前面加上$arrs1 = array(); $arrs2 = array();
细节方面
/images、/include、/data/common.inc.php、/dede、/plus这几个目录设置为只读:对应权限555
以上就是预防挂马的最新方法!
被挂马之后可以下载D盾扫描网站木马程序,并进行清理
织梦CMS5.7最新织梦有效防挂马清马,织梦漏洞修补全!2019-8-30更新相关推荐
- php多城市分站cms,织梦dedecms内核最新全国多城市分站地区插件
源码介绍 织梦DEDECMS内核最新全国多城市分站地区插件 织梦城市分站插件系统使用说明 温馨提示:使用前请先备份网站,以防万一. 1.系统设置: 核心设置-- 是否使用伪静态:是 其他选项-- 模板 ...
- 织梦网站巧用标签实现图片自动Alt功能,强化织梦seo效果
织梦网站巧用标签实现图片自动Alt功能,强化织梦seo效果 很多织梦网站的站长筒子们在做网站的时候,在网站中有时候会插入图片,尤其是那些使用图片类型织梦模板的站长筒子,在使用图片集的时候,会用到很多的 ...
- 新闻网站模板html4,织梦新闻文章门户网站模板,Html5响应式高权重网站织梦模板...
织梦新闻文章门户网站模板,Html5响应式高权重网站织梦模板 模板基于织梦CMSv57sp2开发.运行环境已升级并完全兼容PHP5.6. 模板结构以黄金比例分割.更加符合用户人群体验. 该门户网站模板 ...
- 2023计算机毕业设计SSM最新选题之javaJava防作弊的电子投票系统rgobs
2023计算机毕业设计SSM最新选题之javaJava防作弊的电子投票系统rgobs 大学毕业设计,一般都是自己或者几个同学一起弄,lunwen都是去,百度,图书馆找很多资料参考,(就是把里面都了,自 ...
- 2023最新ChatGPT网站源码+支持ChatGPT4.0+支持Midjourney绘画+用户会员套餐+后台管理+一键更新版本
2023最新ChatGPT网站源码+支持ChatGPT4.0+支持Midjourney绘画+用户会员套餐+后台管理+一键更新版本,支持手机电脑不同布局页面自适应. ChatGPT商用网站源码搭建安装教 ...
- 基于织梦Cms5.7 utf-8版本的仿今日头条微信小程序模块插件的使用和安装
微信小程序端源码可根据自己的需求进行更改.直接上示例图: 下载织梦Cms小程序服务端模块后,在织梦后台,打开模块->上传新模块 : 在左边的菜单栏就可以看到这个"微信小程序" ...
- 织梦CMS5.7版自动给图片添加alt属性的方法
搜素引擎看不懂图片,通过给图片添加alt属性,有助于搜索引擎判了解这是一张什么图片,利于搜索引擎优化,在SEO优化中,图片ALT属性描述很重要,图片alt属性就是对图片进行描述的文字.描述中可以加入网 ...
- 织梦cms5.7搭配php哪个版本,DedeCMS V5.5正式版正式发布(Build-0912)
文件类型:.zip 软件大小:4.2MB 下载次数: 软件类别:国产软件 软件语言:简体中文 授权方式:共享软件 运行环境:PHP4.x.5.x + MySQL4.x.5.x 更新时间:2009-09 ...
- 织梦5.7sp1最新问题:后台不显示编辑器
1.在后台的"系统基本参数"里修改"站点设置"的"网页主页链接:空". 2.修改"核心设置"DedeCMS安装目录:空& ...
最新文章
- linux 命令窗口美化,美化你的命令行终端Terminal
- 先写API文档还是先写代码?你需要这款神器Apifox!
- R方差分析(anova)以及Tukey检验
- 今日 Paper | 模态平衡模型;组合语义分析;高表达性SQL查询;多人姿态估计模型等
- linux服务器的搭建配置与应用,linux服务器的搭建与配置
- Eclipse中导入项目后js报错解决方法
- 面试:史上最全多线程面试题 - (锁内存模型线程)
- Sharepoint学习笔记—Site Definition系列-- 5、List Definition与List Template之比较
- 光伏发电对系统冲击大 “十三五”电力规划重点增强调峰能力
- 介绍两款Docker可视化工具
- shell脚本每日一练(一)
- Python 面试总结
- HDFS SnapShot原理
- 漏洞检测方法如何选?详解源代码与二进制SCA检测原理
- centOS6.6虚拟机启动后登陆界面无法显示
- phpmyadmin安全预防
- DPDK收发包全景分析
- CentOS 7, apm+xcache, rpm包, php module
- objdump和 readelf 的区别
- 易语言卷帘菜单与json_易语言卷帘式菜单组件使用教程