织梦程序常见的漏洞与解决方法

刚开始,小编也曾很傻的认为,打上补丁,删除木马文件,就可以解决此问题,然而,事实上,黑客已经将病毒文件散布到不同的文件夹上,虽然小编根据日期来判断哪些是黑客放上去的木马程序,然后删掉,但文件夹着实太多,没法全部清理掉。于是,小编也不去一一
刚开始,小编也曾很傻的认为,打上补丁,删除木马文件,就可以解决此问题,然而,事实上,黑客已经将病毒文件散布到不同的文件夹上,虽然小编根据日期来判断哪些是黑客放上去的木马程序,然后删掉,但文件夹着实太多,没法全部清理掉。于是,小编也不去一一查看什么木马文件了,直接下了一个最新版的织梦程序,重新安装了一遍,然后将之前备份好的数据库,重新还原上去,这样的话,一个全新的没有木马的程序就诞生了。如果你认为现在你的网站已经安全了,那就大错特错,虽然是最新版的,但小编研究过了,依然是有漏洞的。有几个特别要注意的木马,小编也曾中招过,下面将详讲解决办法。
 
  1、90sec.php木马
 
  我想这个木马程序,凡是用过织梦程序且中过该木马的站长们,应该都不陌生,此木马极其难缠,删了,第二天又会出现,这是因为没有找到根本原因所在,具体解决办法是在include/dedesql.class.php 找到$v2 .= chr($arrs2[$i]); 将其注释掉。
 
  if(isset($GLOBALS['arrs1']))
 
  {
 
  $v1 = $v2 = ";
 
  for($i=0;isset($arrs1[$i]);$i++)
 
  {
 
  $v1 .= chr($arrs1[$i]);
 
  }
 
  for($i=0;isset($arrs2[$i]);$i++)
 
  {
 
  // $v2 .= chr($arrs2[$i]); //注释这里
 
  }
 
  $GLOBALS[$v1] .= $v2;
 
  }
 
  2、数据库下的tplcache缓存文件
 
  这个文件夹里也是木马程序的常驻基地,也是删了又挂,挂了又删,小编的解决方法就,把data数据库的写入权限给关了,具体方法是,dedecms的程序是php,所以我们用的空间一般都自带的有一个.htaccess,这是一个配置文件, 其中,网站的301重定向、404错误页面、允许/阻止特定的用户或者目录的访问、禁止目录列表等功能都能在这里面实现,具体的操作写法是,打开这个文件之后,输入以下命令保存即可。
 
  RewriteEngine on RewriteCond % !^$
 
  RewriteRule uploads/(.*).(php)$ [F]
 
  RewriteRule data/(.*).(php)$ [F]
 
  RewriteRule templets/(.*).(php)$ [F]
 
  3、DedeCMS 5.7 SQL注入漏洞
 
  这个漏洞,小编的网站倒是没有被利用过,只是用安全联盟检查出有该漏洞,这个漏洞已经引起360安全的注意,呼吁广大站长赶紧打补丁。
本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

dedecms织梦默认的TAG标签不是很灵活。有时候我们的标签需要进行一个分类,能不能像{dede:arclist}标签的自定义属性(如:flag=c,h),这样全站调用的时候更灵活。 全站调用TAG标签方法一般是: {dede:tag row='100' sort='new' getall='1'}a target="_blank
未审核文档的TAG会显示在TAG列表页面, 固然点击进入TAG时, 相关的未审核文章不会显示出来, 这样对用户体验是很不好的. DEDECMS暂时没有提供这个功能,所以要解决这个问题, 让DEDECMS不显示未审核文档的TAG, 就要修改TAG的显示库文件 tag.lib.php。 方法一 打
我们都知道DEDECMS生成的文件夹是按天生成的,只要传了图片就会自动建立个年月日的文件,centos系统下,都是随便排序的,很难找到对应文件夹,如果要按顺序排列,要怎么操作呢? 一、文件管理器: 修改 /dede/templets/file_manage_main.html $dh = dir($inp
我们有时候需要对织梦文档的点击量进行批量维护,比如采集来的文章,点击量都为0,需要批量修改,可以用到如下方法1。 1、在数据库里运行下面的代码就可以了,文章的点击量变得随机从500到1000 UPDATE dede_archives SET click=FLOOR(500 + (RAND() * 1000))
用过dedecms的朋友都知道,织梦cms后台系统基本参数里是无法直接上传图片的,我们更换logo图只能到ftp里替换,非常的不方便,我们如果想直接在系统基本参数里上传,要怎么处理呢?在这里需要对代码进行修改,具体流程如下: 实现方法,打开/dede/templets/sy
dedecms要想调用所有子栏目是没有这个标签的,要调用只可用sql标签,reid表示子栏目,channeltype=6表示模型为商品,sortrank表示按排序升序.小的放前面 {dede:sql sql=Select * from `dede_arctype` where reid0 and channeltype=6 ORDER BY sortrank limit 15}