源码基地

 找回密码
 马上注册

QQ登录

只需一步,快速开始

新浪微博登陆

只需一步, 快速开始

查看: 50663|回复: 99

DEDECMS网站安全设置防止dede程序被入侵挂马

  [复制链接]

新浪微博达人勋

  • TA的每日心情
    慵懒
    2019-5-18 17:10
  • 签到天数: 95 天

    [LV.6]常住居民II

    发表于 2014-5-28 18:41 | 显示全部楼层 |阅读模式
    在DEDECMS最新的5.7版本和5.7SP1版本后台都有个安全检测,data目录如果使用默认的名称,那么DEDE系统的安全肯定会大打折扣。相信大家都看到这样的提示:强烈建议将data目录搬移到Web根目录以外,查看如何搬迁。0 V) V  r7 I/ Q/ @. v( B& C

    " s% n( n9 N/ E4 S" @7 \  T* g. V但是对于虚拟主机来说,有些虚拟主机限制,不给移动到web目录以外,那么为了最大限度的减少网站被攻击的可能,我们可以将data目录改名,这样也进一步减少了攻击的可能。具体操作如下:2 y2 I9 T+ M( Z: d( A
      F6 ~5 D8 r: M0 g
    1、修改include目录下的common.inc.php这个文件。打开文件,找到第16行:8 W: k% Y$ X5 y

    ' [/ R% D( L6 ^# V* b. s, l4 o6 _# t' vdefine('DEDEDATA', DEDEROOT.'/data');  把data修改成为您要改的目录名,如:改为asdfg,那么则改为:5 f; D/ O. o8 `) T& L, s6 R
    ' i' t5 @, A- ?  i
    define('DEDEDATA', DEDEROOT.'/asdfg');2、用FTP把data目录改名asdfg,也就是跟第一步改的文件名一样。: I8 ^8 P/ N, o

    . T, z! c! J- z. R) d3、在网站后台,系统-系统基本参数-性能选项,“模板缓存目录:”改为:/asdfg/tplcache。& r3 p5 b$ _/ i9 p; H: ^5 q$ {
    ! e: B! c# y9 U7 w, x- U9 q$ Z
    这样就基本改完成了,不过现在还有些问题。打开网站目录你会发现,自己跳到安装文件了。不用急,修改一下网站根目录的index.php这个文件,把文件最前面的几行注释掉,注释如下,也就是在代码前面加//:" E+ x+ d3 I' c3 m, w
    " t- o& B" @8 G' o, t
    //if(!file_exists(dirname(__FILE__).'/data/common.inc.php'))
    , l8 G  [7 O4 j- \5 h5 h/ ~) L
    6 S7 j+ H7 L6 R' d! X//{
    : {8 T! Y" E. A* B' q+ Q
    / r: w4 _* W* V. l& u  H% d//header('Location:install/index.php');& Z1 M: q$ Z3 w% s- U7 t

    8 e. _% ]# @& b3 j1 k: |( \) T* F//exit();
    4 K& S( C0 M; E3 f: T& y- }2 U  m- D4 E/ h! Y! e% C
    //}
    9 s# |8 g; k% O9 _  G  A! L, Z# O4 V  C
    这样,你的网站就可以正常打开了。在后台更新的时候,还是有问题,网站地图跟RSS、JS这几项更新有问题,那么我们只需要在网站根目录下新建个data目录,然后data目录下再分别新建rss和js两个目录,这样就可以了,再更新一下看看,是不是都正常了呢?
    0 D3 u; O: m, a& M4 h4 o
    ) Y  u3 \6 Z! }9 y注:上面提到的更改目录为asdfg,其中asdfg可以自由更换成你想要的目录名称。- w/ w( `  f0 S/ i
    ' P  s& a% ]6 w/ v! ~6 S
    DEDE(织梦)对外发包或网站被挂马问题解决
    . `  s0 a" _) \& }# s1 K% [$ {6 e" P8 f! E. [0 r/ I
    第一、安装的时候数据库的表前缀,最好改一下,不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。( F! D* x& @$ l. o7 p
    第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
    . [! F9 M( O9 ~6 R3 j第三、装好程序后务必删除install目录
    % \( o0 }; D" @; S0 E2 Z  z第四、将dedecms后台管理默认目录名dede改掉。
    , `+ ]1 O* w* R: I4 l第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。" m# b9 g$ L) \8 ^7 h+ m
    第六、以下一些是可以删除的目录:
    + x& w; e  R' Lmember会员功能
    1 W% ?, m" ?8 t6 G+ `( P2 B- c0 xspecial专题功能
    ; m5 e! c6 ~- g( ^+ m8 w% Hcompany企业模块
    2 I$ q/ T  b! {0 v# \) Splus\guestbook留言板
    , k! {. c& i4 v& o- c. F
    ( G9 t8 n! e4 W4 \$ ?6 ^# [9 p3 r# e% ?
    删除以下文件:+ S9 Q& x# }5 q# c' a- g
    /plus/mytag_js.php
    * y! A/ u3 q# a) N, n/ Q: F/plus/ad_js.php9 r$ g6 ?  y: U: m
    /plus/feedback_js.php
    9 h5 R4 Y7 q; k, N0 H2 t3 j7 i3 r0 N- W) ?( |& F* c3 I
    以下是可以删除的文件:
    & `- c/ `# p4 h5 x/ S' C' t管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的
    + V$ i% s7 R, r6 Bfile_manage_control.php file_manage_main.php file_manage_view.php media_add.php media_edit.php media_main.php+ b5 l; R5 a4 v9 \( C
    - ?6 H- [/ w2 ^" J
    再有:" T3 h+ q% x9 F# l
    不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。  f# ~+ ^% B0 |; ^% v
    不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。: K3 C% v/ `: a7 Q( K8 H
    1 b; v) F" ]  ]7 H7 n
    第七、多关注dedecms官方发布的安全补丁,及时打上补丁。1 [' k4 F. r$ V2 M8 _
    第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
    & H) {0 q/ b* ~! B3 H5 C第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
    7 z8 M" b+ ^% ]1 D: Q' x3 ?第十、最安全的方式:本地发布html,然后上传到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。- i( ?. E% L/ Q/ H4 n
    十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据。
    8 j/ _) c9 O! a. T( ^) a3 Y


    回复 天涯海角搜一下: 百度 谷歌 360 搜狗 搜搜 有道 奇虎 雅虎 必应 即刻

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-28 18:48 | 显示全部楼层
    我只是路过打酱油的。
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-29 01:16 | 显示全部楼层
    支持楼主,用户楼主,楼主英明呀!!!
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-29 01:30 | 显示全部楼层
    支持一下
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-29 04:47 | 显示全部楼层
    楼下的接上
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 01:26 | 显示全部楼层
    元芳你怎么看?
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 02:41 | 显示全部楼层
    不知该说些什么。。。。。。就是谢谢
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 05:37 | 显示全部楼层
    佩服佩服!
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 08:38 | 显示全部楼层
    顶顶更健康
    回复 支持 反对

    使用道具 举报

    新浪微博达人勋

    该用户从未签到

    发表于 2014-5-30 09:26 | 显示全部楼层
    真是 收益 匪浅
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 马上注册 新浪微博登陆

    本版积分规则

    关闭

    站长推荐上一条 /5 下一条

    Archiver|VIP商业源码|企业网站源码|建站之星模板|DEDE模板|新闻中心|源码基地 ( 黔ICP备11002644号 )|网站地图

    GMT+8, 2019-5-24 06:51 , Processed in 0.187500 second(s), 25 queries , Gzip On, File On.

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表