近期不少用戶被爆織夢程序漏洞��,那么黑客都是利用什么方法達到WebShell目的呢����。
織夢后臺功能強大�����,也造成了有些地方存在跨站請求偽造漏洞�。遠程攻擊者可通過提交特制的請求利用達到寫入WebShell目的�。
近些年已經(jīng)做到了足夠完美,但是很多新手用戶不懂如何管理維護網(wǎng)站���,造成經(jīng)常被惡意篡改網(wǎng)頁�。
網(wǎng)站被黑之后���,用最近一次備份還原����,如果沒有備份過,可以聯(lián)系秀站網(wǎng)客服咨詢��。
然后做好安全安防設(shè)置:
1:install(安裝后刪除)��、special����、a、tags.php文件都可以刪除���。
2:權(quán)限設(shè)置:
data/����、744 可讀 可寫 可執(zhí)行
templets/����、744 可讀 可寫 可執(zhí)行 (經(jīng)常不修改模板的用戶,建議設(shè)置不可寫�,修改試在開啟)
Dede/(后臺文件夾) 555 可讀取 可執(zhí)行 不可寫入
include/ 555 可讀 可執(zhí)行 不可寫入
uploads/ 644可讀寫 可寫入 不可執(zhí)行權(quán)限
member/、plus/ 755可讀 可執(zhí)行 不可寫入權(quán)限
3:沒有開通會員的站點�,刪除member。
4:登錄路徑/定期修改FTP賬號及密碼/管理員帳號及密碼設(shè)置的復(fù)雜些
參考教程:http://www.xiuzhanwang.com/dedecms_az/117.html
5:plus 簡化���,保留:img����、diy.php、list.php�����、search.php����、count.php�、ad_js.php,其他全部刪除�����。
6:后臺登錄文件優(yōu)化(不用的就刪除)
dede/file_manage_control.php 【郵件發(fā)送】
dede/file_manage_main.php 【郵件發(fā)送】
dede/file_manage_view.php 【郵件發(fā)送】
dede/media_add.php 【視頻控制文件】
dede/media_edit.php 【視頻控制文件】
dede/media_main.php【視頻控制文件】
dede/mytag_add.php 【自定義標(biāo)記管理】
dede/mytag_edit.php 【自定義標(biāo)記管理】
dede/mytag_main.php 【自定義標(biāo)記管理】
dede/mytag_tag_guide.php 【自定義標(biāo)記管理】
dede/mytag_tag_guide_ok.php 【自定義標(biāo)記管理】
dede/spec_add.php���、spec_edit.php【專題管理】
dede/file_xx .php開頭的系列文件及tpl.php【文件管理器�,安全隱患很大】
dede/soft_add.php��、dede/soft_config.php�����、dede/soft_edit.php 【軟件下載類,存在安全隱患】
以dede/story_xxx.php開頭的系列文件 【小說功能】
dede/ad_add.php�����、ad_edit.php�、ad_main.php 【廣告添加部分】
dede/cards_make.php、cards_manage.php�����、cards_type.php 【點卡管理功能文件】
以dede/co_xx .php開通的文件 【采集控制文件】
dede/erraddsave.php 【糾錯管理】
dede/feedback_edit.php����、dede/feedback_main.php 【評論管理】
以dede/group_xx .php開頭的系列php文件 【圈子功能】
dede/plus_bshare.php 【分享到管理】
以dede/shops_xx .php開頭的系列文件 【商城系統(tǒng)】
dede/spec_add.php、spec_edit.php 【專題管理】
以dede/templets_xx .php開頭的系列文件 【模板管理�����,可以保留】
dede/vote_add.php��、vote_edit.php����、vote_getcode.php 【投票模塊】
魯公網(wǎng)安備37048102006483號
