咨询,就免费赠送域名与服务器,咨询热线:15011391012当前位置: 主页 > 营销百科 > 网站建设 >
推荐内容
联系我们
电话咨询:15011391012
E-mail:531166571@qq.com
地址:河北固安永康南路底商

2019最新织梦cms漏洞之安全设置,有效防护木马,亲

作者/整理:admin 来源:互联网 2019-10-09

织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的!
安全设置前:备份网站文件及数据库
系统安全优化设置之前,做好备份工作。网站备份是网站维护必须必学基础,参考教程,不做赘述!
安全设置一:删文件
目录
删除原因
/install
安装后的余留文件,没用,整个文件夹删除
/member
会员功能文件,大数企业站没用,文件夹删除,若需要会员功能的就不能删
/special
专题功能,如果你不需要这个功能,文件夹删除,需要就别删,大部分是不需要的
/tags.php
TAG标签,没有此功能可删除
网站后台目录dede要删除的文件
删除原因
/dede/tpl.php
文件上传管理系统文件,易被挂马,强烈建议删除或者不用时请改名(tpl备用.php)
/dede/templets_*.php
模板管理功能,老手建议删除,使用FTP管理
/dede/media_*.php
附件数据管理功能文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/file_*.php
文件式管理器功能控制器文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/mytag_*.php、mytag_tag_*.php
自定义标记管理,易被上传一句话木马
/dede/story_*.php
小说功能,可删除
/dede/erraddsave.php
纠错功能,可删除
/dede/feedback_*.php
评论管理,可删除
/dede/group_*.php
圈子功能,很少用到,可删除
/dede/co_*.php
采集控制文件,可删除
/dede/cards_*.php
点卡功能功能,可删除
/dede/ad_*.php
广告管理添加/删除文件,企业站一般不用可删除
/dede/spec_*.php
专题管理,没有专题页面,可删除
/dede/vote_*.php
投票功能,可删除
/dede/sys_sql_query.php
SQL命令运行器,不需要的话可以改名为(sys_sql_query安全禁用.php)也可以删除
目录/plus要删除的文件
删除原因(正常的企业站可以只保留list.php、view.php、count.php、search.php、diy.php(企业站经常用到的表单)五个文件以及img文件夹,其他全部删除)
/plus/guestbook
留言簿模块,整体删除,容易SQL注入及垃圾留言,
/plus/task和task.php
计划任务控制文件,文件夹和文件都删除
/plus/bookfeedback.php、bookfeedback_js.php
图书评论和评论调用文件,存在注入漏洞,不安全
/plus/bshare.php
分享插件
/plus/ad_js.php
广告插件,新闻资讯站用到的,请勿删除
/plus/car.php、posttocar.php、carbuyaction.php
购物车
/plus/comments_frame.php
调用评论,存在安全漏洞
/plus/digg_ajax.php、digg_frame.php
顶踩
/plus/download.php、disdls.php
下载和次数统计
/plus/erraddsave.php
纠错
/plus/feedback.php、feedback_ajax.php、feedback_js.php
评论
/plus/stow.php
内容收藏
/plus/vote.php
投票
安全设置二:后台目录及账号密码修改
网站后台文件改名:默认后台目录是/dede,需要将这个文件夹的名称修改,比如改为onlynur,那么后台登陆地址就由www.xxx.com/dede变为www.xxx.com/onlynur,(不定期更改一下)
后台登录密码请勿使用admin,不要默认。
安全设置三:目录权限设置
/data、/templets、/plus、/include、/dede这几个目录去掉写的权限
老版本若登录后台提示验证码错误,选中/data目录,将权限设置为完全控制(可读可写)权限
安全设置四:主机安全防护
可下载第三方防护插件,例如:360出品的“织梦CMS安全包”、百度旗下安全联盟出品的“DedeCMS顽固木马后门专杀”、服务器安全狗、启用HTTPS证书配置;
安全设置五:利用伪静态功能禁止以下目录运行php脚本——此处可选择性设置
linux主机的用户一般都是apache环境,使用.htaccess文件来设置,如果你网站根目录已经存在这个文件,那就复制一下代码添加进去。
RewriteEngineon
#安全设置禁止以下目录运行指定php脚本
RewriteCond%!^$
RewriteRulea/(.*).(php)$–[F]
RewriteRuledata/(.*).(php)$–[F]
RewriteRuletemplets/(.*).(php|htm)$–[F]
RewriteRuleuploads/(.*).(php)$–[F]
windows主机的用户一般都是iis7、iis8环境,使用web.config文件来设置,请确认你的主机已经开启了伪静态而且网站根目录有web.config文件,有这个文件的可以复制以下代码添加到对应的rules内。
<rulename=“Blockdata”stopProcessing=“true”>
<matchurl=“^data/(.*).php$”/>
<conditionslogicalGrouping=“MatchAny”>
<addinput=“{USER_AGENT}”pattern=“data”/>
<addinput=“{REMOTE_ADDR}”pattern=“”/>
</conditions>
<actiontype=“AbortRequest”/>
</rule>
<rulename=“Blocktemplets”stopProcessing=“true”>
<matchurl=“^templets/(.*).php$”/>
<conditionslogicalGrouping=“MatchAny”>
<addinput=“{USER_AGENT}”pattern=“templets”/>
<addinput=“{REMOTE_ADDR}”pattern=“”/>
</conditions>
<actiontype=“AbortRequest”/>
</rule>
<rulename=“BlockSomeRobot”stopProcessing=“true”>
<matchurl=“^uploads/(.*).php$”/>
<conditionslogicalGrouping=“MatchAny”>
<addinput=“{USER_AGENT}”pattern=“SomeRobot”/>
<addinput=“{REMOTE_ADDR}”pattern=“”/>
</conditions>
<actiontype=“AbortRequest”/>
</rule>
Nginx下禁止指定目录运行PHP脚本
注意:这段配置文件一定要放在location~.php(.*)$的前面才可以生效,配置完后记得重启Nginx生效。
location~*/(a|data|templets|uploads)/(.*).(php)${
return403;
}
测试有没有生效,可以随便创建一个PHP文件传到uploads文件夹下,执行:域名/uploads/测试文件.php如果不能打开说明生效。
安全知识六:常见木马文件
迄今为止,我们发现的恶意脚本文件有
plus/90sec.phpplus/ac.phpplus/config_s.phpplus/config_bak.phpplus/diy.php(系统文件)plus/ii.phpplus/lndex.phpdata/cache/t.phpdata/cache/x.phpdata/cache/mytag-*.htmdata/config.phpdata/cache/config_user.phpdata/config_func.phpinclude/taglib/shell.lib.phpinclude/taglib/*.lib.php
大多数被上传的脚本集中在plus、data、data/cache、include这几个目录下,请仔细检查这几个目录下最近是否有被上传异常文件。