最新织梦cms漏洞之安全设置,有效防护木马(更新至20190920)

最新推荐文章于 2024-03-13 21:23:03 发布
最新推荐文章于 2024-03-13 21:23:03 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 织梦
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skysem1/article/details/102679928
版权

织梦CMS在安装完成后,新人往往会直接开始开发使用,忽视了一些安全优化的操作,这样会导致后期整个系统安全系数降低,被黑或者被注入的概率极高,毕竟这世界百分百存在着极多的无聊hacker对全网的网站进行扫描,扫到你这个菜站,尤其是使用率极高的DEDECMS,对你的站点下手的欲望更高,所以在开发前做好安全防范还是很有必要的!

安全设置前:备份网站文件及数据库

系统安全优化设置之前,做好备份工作。

安全设置一:删文件

安装完成后会有一些文件,可以说是冗余文件,完全没有作用,反而带来被黑的危险,删除即可,以下目录文件均可删除:

目录 删除原因
/install 安装后的余留文件,没用,整个文件夹删除
/member 会员功能文件,大数企业站没用,文件夹删除,若需要会员功能的就不能删
/special 专题功能,如果你不需要这个功能,文件夹删除,需要就别删,大部分是不需要的
/tags.php TAG标签,没有此功能可删除
网站后台目录dede要删除的文件 删除原因
/dede/tpl.php 文件上传管理系统文件,易被挂马,强烈建议删除或者不用时请改名(tpl备用.php)
/dede/templets_*.php 模板管理功能,老手建议删除,使用FTP管理
/dede/media_*.php 附件数据管理功能文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/file_*.php 文件式管理器功能控制器文件,易被挂马,删除(用你的FTP管理文件就可以了,别用这个)
/dede/mytag_*.php、mytag_tag_*.php 自定义标记管理,易被上传一句话木马
/dede/story_*.php 小说功能,可删除
/
最低0.47元/天 解锁文章
东北狼仙
关注
专栏目录
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
漏洞复现实验报告
qq_45721890的博客
10-30 3869
漏洞复现实验报告 一、 概述 1.1项目背景 织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHPCMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。 2018 年 1 月 10 日,锦行信息安全公众号公开了一个关于 DeDeCMS前台任意用户密码修
120.网络安全渗透测试—[CMS后台 getwebshell]—[织梦dedecms5.7后台 getwebshell]
qwsn
07-10 2933
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! (1)进入后台:模块–>文件管理器---->上传文件---->shell.php,内容为 (2)访问:\shell.php(1)进入后台:模块–>文件管理器–>新建文件–>写入wshell.php,内容为 (2)访问:\wshell.php (3)访问:\shell0.php (1)进入后台:系统–>系统基本参数–>核心配置–>专题最大的节点数或FTP端口写入 (2)访问:data\config.cache.inc.php....
织梦漏洞
showso2006的专栏
09-06 1021
<br />最近网站被人挂马,360狂报,真的很影响网站形象。<br />经检查,原来是织梦的模板机制漏洞,只要利用织梦的会员管理功能,发表文章,上传一个带有gif89a的欺骗图片,再访问那篇文章即可以执行脚本代码。然后实现上传木马脚本到网站,就可以为所欲为。<br /> <br />另外,即使你清除了木马,用360检查还是会报警的,只有等360再次检查时发现没问题,才会清除报警。如果要快,可以使用360的验证码嵌入到网站,登录自己的账号,点击验证,大概需要在半小时之后才会再次检查。
织梦cms网站安全防护设置
火狼网络
10-18 1276
总所周知织梦系统是目前开源CMS系统中,使用人数最多的系统之一,所以也被黑客们盯上了,官方对于系统的更新速度也比较慢,所以大家只能自己做好防范工作,这样才能更好的确保网站的安全性。 一:尽量不要使用香港、国外等虚拟空间。 这类虚拟空间,安全性非常低,几百甚至几千个用户的网站都放在一台服务器上,一旦其中的某个网站被攻击,正好他也是织梦系统,那么你的完整就很容易被连带攻击。大家想一下,为什么你
织梦漏洞利用
weixin_53210070的博客
12-14 1592
Dedecms网站建立 php打开网站,开始安装 漏洞利用原理 dedecms系统中使用了SQL语句防注入功能引了的安全警告。在自定义模模型中使用了union|sleep|benchmark|load_file|outfile之一都会引发这个警告,此外采集的内容,如果有‘union 这类语法也会出现在这个警告。解决办法就是把安全检查关掉,打开include下面的dedesql.class.php 和dedesqli.class.php,$this->...
dedecms 漏洞_织梦程序(DeDeCms)常见问题集锦
weixin_39870700的博客
11-29 371
本文版权归西部数码所有,原文链接:https://www.west.cn/faq/list.asp?unid=1723前言:织梦程序是最知名的cms程序,使用广泛,但很多朋友对织梦还不太熟悉,通过工单分析得知,经常容易出现本文中的问题,本次统一整理出来,希望对新手朋友有帮助,本文写的非常详细,请仔细阅读,一、描述:“dedecms错误警告:连接数据库失败,可能数据库密码不对或数据库服务器出错”如图...
织梦CMS容易被攻击!简单做好这几点,安全达到99%,这下安心了
sindns的博客
02-18 656
织梦DEDECMS系统是大家经常用的一款程序,深受个人站长及网络公司的喜爱,建站方便,成本低,并且有利于优化!但是官方对于织梦安全更新速度也比较慢,导致很多的网站被挂马,所以只能自己做好织梦安全防范工作,这里江边鸟主机 网站跟大家详细讲述下几种织梦安全设置。 一、删除install安装目录 织梦安装完成后,网站根目录的安装目录install就没有作用了,为了防止别人利用,最好把install...
织梦系统(DedeCMS安全加固方案
m0_63641320的博客
03-25 229
一、织梦(DedeCMS)介绍 织梦(DedeCMS)作为国内龙头CMS系统之一,因其系统结构科学合理,操作使用简单,拥有海量用户。 和其他CMS一样,安全漏洞也是其无法避免的问题。虽然官方不断发布补丁、升级版本,但安全问题依然存在。 下面我们讲述如何在不修复程序的情况下,通过安全加固的方法,快速解决织梦(DedeCMS)系统的安全问题。 二、安全防护方法 要解决织梦(DedeCMS安全问题,我们需要使用一款网站专用防护软件-【护卫神·网站锁系统】。 【护卫神·网站锁系统】通过部署ACL权限策略、安
织梦漏洞超级利用工具
07-03
软件功能非常强大,懂的人可以拿去测试呵呵,不懂的人,你也就OUT了!~~
织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些
sy_3714的博客
08-17 2584
文章目录使用织梦建站,阿里云中反馈了许多漏洞dedecms /include/payment/alipay.php支付模块注入漏洞修复方案织梦dedecms安全漏洞之/include/common.inc.php漏洞解决办法dedecms任意文件上传漏洞(select_soft_post.php)织梦cms/include/uploadsafe.inc.php漏洞修复方法 使用织梦建站,阿里云中反馈了许多漏洞 现在给大家整理一下织梦漏洞 dedecms /include/payment/alipay.ph
漏洞情报】复现任务
liangtaiwei的博客
12-13 2498
一、漏洞概述 织梦内容管理系统(DedeCms) [1] 以简单、实用、开源而闻名,是国内 最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHPCMS 系统, 在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长 足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能 更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在 使用该系统。 2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS
织梦guestbook.php漏洞,织梦dedecms漏洞大全 | 志博日记
weixin_42512249的博客
03-12 911
1.dedecms文件任意上传漏洞漏洞一文件位置:/dede/media_add.php找到64行$filename = $savePath."/".$filename;改成$filename = $savePath."/".$filename; if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA...
dedecms织梦严重0day漏洞(直接进后台)分析及修复
Yatere的天平秤
08-17 2659
众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。今天小编在群里得到织梦官方论坛某版主可靠消息:“DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及时关注补丁动态。” bug被利用步骤如下: http://www.ywen.info/网站后台/
织梦dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞
zxy840552216的博客
07-12 1335
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php /member/mtypes.php /member/pm.php /plus/guestbook/edit.inc.php /plus/search.php...
织梦dedecms漏洞修复大全注入漏洞
unixtech的博客
12-21 3509
很多人说dedecms不好,因为用的人多了,找漏洞的人也多了,那么如果我们能修复的话,这些都不是问题,今天乐清网站建设的赵老师就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文 DEDECMS|织梦|漏洞修复|
漏洞复现--织梦CMS_V5.7任意用户密码重置漏洞
HengMengSec的博客
08-16 2141
织梦内容管理系统(DeDeCMS)以其简单、实用、开源的特点而著名。作为国内最知名的PHP开源网站管理系统,它在多年的发展中取得了显著进步,无论在功能还是易用性方面都有长足的发展。该系统广泛应用于中小型企业门户网站、个人网站、企业和学习网站建设。在中国,DedeCMS被认为是最受欢迎的CMS系统之一。但是,最近发现该系统的一个漏洞位于member/resetpassword.php文件中。由于未对接收的参数safeanswer进行严格的类型判断,攻击者可以利用弱类型比较来绕过安全措施。
DedeCms织梦系统漏洞复现
最新发布
LIU6636LIU的博客
03-13 2113
1 部署好之后发现系统默认管理路径是dede,登陆管理后台可以通过地址然后有dedecms安全提示直接打开根目录修改dede文件夹为LYP重新进去管理员后台对数据进行还原看一下网站的地址接着生成新的网站然后即可访问网站,CMS搭建完毕首先打开后台管理页面开启会员功能这样就可以注册一个账户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值