Dedecms经常被挂马怎么办

作者 : 青柠哥 本文共1561个字,预计阅读时间需要4分钟 发布时间: 2023-07-11 共128人阅读

Dedecms经常被挂马怎么办

Dedecms经常被挂怎么办?

献给经常被挂马的站长朋友们,小心每一步,防止挂马。

推荐学习:梦想编织cms

如题:

经常看到有朋友说“DEDEECMS程序有安全问题,我的网站被”挂了。

不过我觉得DedeCms应该没什么问题。根据查看DEDEDE的用户表单源代码,全部过滤。

使用dedecms的用户非常多。如果有安全漏洞,恐怕就不只是几个朋友了。

以下是黑客常用的SQL注入方法以及需要注意的地方。

1.用工具和黑客工具检查你网站的漏洞~当然不要滥用~用一些注入SQL的黑客软件检查你的网站就可以了(比如D injector等。).我都用过了,没发现dede有什么漏洞。不信你可以测试一下。当然我不知道不代表没有,但是你也要知道有多少朋友用Dede。如果有容易抓到的漏洞。

2.后台地址必须更改。不要用DEDE做背景。有些朋友甚至不知道德德可以改名!?

3.还不如在后台加个验证码。虽然有点麻烦,但是可以防止很多小黑客用社会工程破解你的网站(我试过,很多朋友的密码往往是手机号、域名、qq等。)

4.如果你在网站上添加字段(比如申请时要求用户输入生日等。),不要把自己的问题推到DEDE身上。(建议有一定PHP技术的朋友修改一下。为了实现功能,并不是前台加一个表单,后台加一个发布表单,然后再加一个数据库字段那么简单。要防止XSS攻击,要注意添加htmlspecialchars,mysql_escape_string())。

5.还有很多朋友为了增加功能,在自己的空间里使用一些小程序(我也用过那些程序忘记删除了,结果挂了),比如相册,注册等程序。这些程序的作者都是不知名的,他们的程序基本都会有一定的风险。一些黑客可以利用这一点,上传黑眼小马(也就是木马)获得你的虚拟空间使用权,然后利用工具批量挂马。

6.不要忽视IDC服务器厂商的风险。我来告诉你~对于黑客来说~为了挂你的站点,他们往往会选择侧面注入的方法,而不是点对点破解。他们的方法是破解和你在同一个服务器上的其他网站。不要相信,别人需要知道你的邻居有什么容易的(进入这个网站,查看同一个ip下的所有网站,只需输入你的ip地址(https://www.xx.net),就可以非常容易的破解同一台服务器上的其他用户,让你挂机(我用这个方法挂机过别人的网站)。对于一些好的服务器来说,这个限制比较严格,所以不会出现这个问题。

7.还有,最好严格控制你开的用户上传栏目,这也很关键。如果黑客不破解你的背景,挂马难度会大很多,因为他们需要上传一个挂马工具。如果你被挂了,记得检查你的网站是否允许上传文件,如html.php.asp。

8.时刻关注德德发布的安全补丁。我研究过上次发布的几个安全补丁,有些漏洞可能会被别人利用,原因有二。(Dede甚至还关注过,可见DEDE还是很关注安全问题的。我记得会员补丁是一月份发布的。2月份,一些黑客网站发布了不打这个补丁的网站的文章,甚至有朋友发现了。我无语了。希望大家可以随时关注官方的安全补丁。

9.有朋友经常把赢马后的文件上传到这个论坛,希望大家一起研究。我想说的是,“的东西上传后是无法阻止的,因为那个JS或者iframe不是关键。上传后才能破解加密文件的木马。”别人留下的只是目的,不是工具。

10.不可抗拒的自然因素,比如一个超顶级的黑客想挂你的网站,恐怕很多没有毛病的东西都会有毛病。相信我,挂马的黑客都是新手黑客,工具黑客。如果你做到以上几点,那些黑客就不知道该怎么办了。

本来不想贴这个的,不知怎么就写了这么多!

我发表这篇文章的目的只是希望大家好好保护自己的网站,希望大家不要骂人!

如果有什么最新的漏洞或者其他挂马方式,我会第一时间在德德上发表文章~

祝大家好运!

以上是Dedecms如何经常被挂机的细节。更多信息请关注php中文网其他相关文章!

青柠资源网专注于CMS网站模板,主流语言整站网站源码下载,网站建设相关教程分享,好用的软件素材整合下载,提供一站式便捷自助服务。
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.qnziyw.cn",如遇到无法解压的请联系管理员!


青柠资源网 » Dedecms经常被挂马怎么办

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍
提示下载完但解压或打开不了?
最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或 联络我们。
找不到素材资源介绍文章里的示例图片?
对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单

发表回复