織夢上傳漏洞

❶ 織夢的漏洞防範

1.清除（./、./install、./dede、./include、./plus、./member 、./images、./uploads、../a、./templets 、./data 、./special、special/index.php）目錄及其文件外其他務必設置許可權為755；
2.修改./dede（後台目錄）為其他名稱，避免使用admin、administrator等敏感名稱；
3.在根目錄./下.htaccess（沒有的話可以新建）中新增如下內容：
#保護.htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
#目錄執行php腳本限制
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]
RewriteRule special/(.*).(php)$ –[F]
RewriteRule images/(.*).(php)$ –[F]
#禁止對無索引文件的目錄進行文件列表展示
Options -Indexes
在網路BAE安裝原版DedeCMS
網路應用引擎（BAE）是網路推出的網路應用開發平台。基於BAE架構，使開發者不需要維護任何伺服器，只需要簡單的上傳應用程序，就可以為用戶提供服務。BAE有能力將原本單機的LAMP架構，變成分布式架構。
使用網路Bae雲平台伺服器安裝原版dedecms的方法
下面PHP站教大家怎麼在網路Bae上安裝原版dedecms
1、打開/install/index.php
查找else if($step==4){ ，（大約122行）在這段代碼下面添加以下代碼：
$host=getenv(『HTTP_BAE_ENV_ADDR_sql_IP』);$port = getenv(『HTTP_BAE_ENV_ADDR_SQL_PORT』);$cfg_dbhost = $host.」:」.$port;$cfg_dbname = 『資料庫名稱』;$cfg_dbuser = getenv(『HTTP_BAE_ENV_AK』);$cfg_dbpwd = getenv(『HTTP_BAE_ENV_SK』);$cfg_dbprefix = 『~dbprefix~』;$cfg_db_language = 『~dblang~』;$dbhost=$cfg_dbhost;$dbuser=$cfg_dbuser;$dbpwd=$cfg_dbpwd;$dbname=$cfg_dbname;$dbprefix=」dede_」;$db_language=」utf-8″;
2、打開/include/common.inc.php
查找 $isSafeMode = @ini_get(「safe_mode」);
修改為：$isSafeMode = false;

❷ 用DEDECMS搭建網站的安全篇：默認模板路徑漏洞

一般是你網站程序有漏洞才會被掛馬的，有些木馬代碼直接隱藏在DEDECMS的主程序里。建議你找專業做網站安全的sinesafe來給你解決。

建站一段時間後總能聽得到什麼什麼網站被掛馬，什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

序，只要可以上傳文件的asp都要進行身份認證!

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過於簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載後要對其資料庫名稱和存放路徑進行修改，資料庫文件名稱也要有一定復雜性。

5、要盡量保持程序是最新版本。

6、不要在網頁上加註後台管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護後刪除後台管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份資料庫等重要文件。

9、日常要多維護，並注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調用一定要進行身份認證，並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程

二：掛馬恢復措施：

1.修改帳號密碼

不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號

密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用

SQL的話應該使用特別點的帳號密碼，不要在使用什麼什麼admin之類，否則很容易被入侵。

2.創建一個robots.txt

Robots能夠有效的防範利用搜索引擎竊取信息的駭客。

3.修改後台文件

第一步：修改後台里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對資料庫加密後在修改conn.asp。

第三步：修改ACESS資料庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。

4.限制登陸後台IP

此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網站程序

注意一下網站程序是否本身存在漏洞，好壞你我心裡該有把秤。

7.謹慎上傳漏洞

據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。

8. cookie 保護

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。

9.目錄許可權

請管理員設置好一些重要的目錄許可權，防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。

10.自我測試

如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。

11.例行維護

a.定期備份數據。最好每日備份一次，下載了備份文件後應該及時刪除主機上的備份文件。

b.定期更改資料庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最後修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。

網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。

您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。

❸ 織夢網站程序漏洞被人入侵了，應該怎樣修復

dedecms網站程序代碼的安全很重要，如果網站使用了開源的CMS系統代碼，不懂程序技術的話，網站會經常被黑客攻擊，如果自己懂程序，那就可以自己針對代碼的漏洞進行漏洞修復，不懂的話，就請專業的網站安全公司來完善一下程序上的某些代碼漏洞，國內像SINE安全、綠盟安全、啟明星辰都是比較專業的安全公司，很多黑客之所以能植入木馬病毒，就是抓住了這些網站代碼上的漏洞。

❹ 織夢無法上傳圖片出現一個滾動條

圖片不能上傳成功的原因大概有以下幾種：
1、目錄上傳許可權不夠。
2、程序本身漏洞導致，或程序不完整導致。
3、操作系統問題。
檢測目錄許可權
當 提示圖片上傳失敗的時候，我首先檢測的是文件許可權是否足夠。經過檢測，文件夾的許可權是755表示已經足夠，並且已經重新創建了文件夾並賦予最高許可權，依然 沒有解決該問題，接著檢測用戶組許可權是否足夠，通過檢測也沒有發現任何的問題，因此文件夾許可權導致圖片不能正常上傳的可能性被排除。
網站程序完整性
接著檢測網站程序的完整性，發現十多個網站都不能正常上傳圖片，於是排除了網站程序完整性導致圖片上傳失敗的可能性。
操作系統問題
於是檢測 WEB NGINX 伺服器，將圖片上傳文件夾的可執行許可權開放，但任然不能成功上傳圖片。此時，忽然想起了之前配置過 php.ini 配置文 檔，將 open_basedir 配置成了網站程序所在根目錄 /htdocs，於是將該行代碼注釋掉，之後便成功的上傳了圖片，問題被解決掉。但是， 這樣做放棄了安全性，有些捨不得。
通過以下方法，不僅讓安全性提高，也解決了圖片上傳失敗的問題：
php.ini 中的open_basedir 表示：php程序執行限制在了指定的目錄中，這樣可以限制入侵者繼續提權到操作系統，安全性有更一步的保障。其 中 upload_tmp_dir 表示的是文件上傳臨時目錄，如果設置了 open_basedir 參數，那麼 upload_tmp_dir 必須 配置，否則文件上傳將不能成功。
總結：遇到圖片不能上傳，表示相當棘手。需要從上傳的圖片類型、圖片的尺寸、文件夾許可權、程序完整性到最後 的系統環境一一分析，遇到問題不要焦急，相信經過透徹的分析與測試，問題總會被解決掉。本文最終解決方法就有兩個，注釋 open_basedir 該行 代碼就能解決問題，如果配置了 open_basedir 那麼需要設定文件上傳臨時目錄，最後筆者將 upload_tmp_dir 設定 為 /tmp 後，圖片就可以成功上傳了！

❺ 織夢首頁被劫持添加了keyword和description怎麼處理

織夢首頁被劫持很常見，首先要找出原因，否則及時修改了TDK，隔一段時間還是被攻擊。

一般出現問題原因是：伺服器安防和DEDE的漏洞。解決辦法可以按照下面方法逐步調整：

1. 先把程序去掉，把靜態頁面和JS、CSS、圖片文件等復制出來，放到伺服器上保證站點訪問，減少損失。

2. 檢查DEDE系統是否該升級更新了，升級到新版本

3. 沒用的功能去掉，比如會員系統，還有PLUS文件裡面的一些插件，後台目錄（DEDE）裡面的一些用不到的文件刪除。

4. 織夢DEDECMS上傳漏洞uploadsafe.inc.php修復、織夢DEDECMS變數覆蓋漏洞dedesql.class.php修復。

5. 把賬戶admin修改為其他，修改後台登錄密碼，和後台地址。修改資料庫賬戶密碼，FTP賬戶密碼。

6. 有條件就一個文件夾一個文件夾的去查殺木馬，沒條件的話，可以重裝織夢，恢復數據。安裝好織夢後，刪除install目錄。

7. 如果伺服器安防自己能做好保持現狀就行，做不好，可以考慮網路雲或者阿里雲的雲主機。起碼安全一些。
   

功能和插件刪減可以參考下面：

member文件夾（會員）

special文件夾（專題）

plus文件建議只保留如下文件：count.php（文章瀏覽次數），list.php（動態欄目），search.php（搜索），view.php（動態文章）

dede目錄不必要的文件

以file_xx .php開頭的系列文件及tpl.php【文件管理器】

soft_add.php、soft_config.php、soft_edit.php【軟體下載類】

mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php【郵件發送】

media_add.php、media_edit.php、media_main.php【視頻控制文件】

以story_xxx.php開頭的系列文件【小說功能】

ad_add.php、ad_edit.php、ad_main.php【廣告添加部分】

cards_make.php、cards_manage.php、cards_type.php【點卡管理功能文件】

以co_xx .php開通的文件【採集控制文件】

erraddsave.php【糾錯管理】

feedback_edit.php、feedback_main.php【評論管理】

以group_xx .php開頭的系列php文件【圈子功能】

plus_bshare.php【分享到管理】

以shops_xx .php開頭的系列文件【商城系統】

spec_add.php、spec_edit.php【專題管理】

以templets_xx .php開頭的系列文件【模板管理】

vote_add.php、vote_edit.php、vote_getcode.php【投票模塊】

/dede/templets/目錄

刪除：以file_xx .htm開頭的系列文件及tpl.htm【文件管理器，安全隱患很大】

soft_add.htm、soft_config.htm、soft_edit.htm【軟體下載類，存在安全隱患】

mail_file_manage.htm、mail_getfile.htm、mail_send.htm、mail_title.htm、mail_title_send.htm、mail_type.htm【郵件發送】

media_add.htm、media_edit.htm、media_main.htm【視頻控制文件】

以story_xxx.htm開頭的系列文件【小說功能】

ad_add.htm、ad_edit.htm、ad_main.htm【廣告添加部分】

cards_make.htm、cards_manage.htm、cards_type.htm【點卡管理功能文件】

以co_xx .htm開通的文件【採集控制文件】

erraddsave.htm【糾錯管理】

feedback_edit.htm、feedback_main.htm【評論管理】

以group_xx .htm開頭的系列htm文件【圈子功能】

plus_bshare.htm【分享到管理】

以shops_xx .htm開頭的系列文件【商城系統】

spec_add.htm、spec_edit.htm【專題管理】

以templets_xx .htm開頭的系列文件【模板管理】

vote_add.htm、vote_edit.htm、vote_getcode.htm【投票模塊】

❻ 如何解決織夢cms最新版本5.7漏洞被掛馬的方法

織夢的漏洞大多來自它的插件部分（plus），那我們就從這里著手，我們把裡面不需要的插件的php文件統統刪掉，只保留自己用的上的友情鏈接，廣告系統等，現如今有被所有的「黑客」抓住不放的兩個漏洞（mytag.php,download.php）把這兩個文件刪了，如果你已經中馬了，請打開資料庫文件，找到這兩個數據表，將表裡的內容清空！另外到織夢後台，有一個病毒掃描的工具，在系統設置里，點擊掃描一下你的網站文件，這樣可以把非織夢文件掃描出來，然後刪除掉即可！

織夢網站被掛馬工具批量掛馬
dedecms的系統漏洞，被入侵的話，常見是在data/cache、根目錄下新增隨機命名目錄或數字目錄等目錄有後門程序。另外，站長要定期維護網站的時候，通過FTP查看目錄，根據文件修改時間和名稱判斷下有無異常。在近期修改的文件中注意篩查，找到批量掛馬程序後，一般是個asp和php網頁，在FTP工具里，點右鍵選擇「查看」源文件後確認刪除。

找到掛馬頁面批量清理
一些掛馬程序會提供織夢後門，在瀏覽器中輸入你的域名/目錄/掛馬程序的文件名，出來的頁面一般要求輸入密碼，輸入剛才復制的密碼，進入批量掛馬工具。在這個工具里，功能很多，有提權，文件管理，文件上傳，批量掛馬，批量清馬等等。我們可以用這個「批量清馬」功能來清楚網站上的掛馬代碼。查看下掛馬代碼，復制到批量清馬工具下面的輸入框里，點開始就可以了。

網站重新生成html靜態頁面
dedecms本身自帶的生成html功能來清理掛馬代碼，把整個網站重新生成一遍，代碼自然就沒了。不過這個方法只適合沒給php文件掛馬的情況下使用。假如php文件被掛馬的話，這個方法是沒用的。
http://jingyan..com/article/e2284b2b76edc0e2e6118dfa.html

❼ 為什麼大家都說織夢dedecms不安全

實際任何程序都有漏洞 只不過用織夢的人比較多 windows系統每天還那麼多漏洞恩！
你網路一下「織夢DedeCMS實用技巧-八大安全措施」這篇文章介紹如果防止黑客攻擊織夢系統，青龍建站教程自學網建議你網站裝上網路雲加速， 這樣能夠更有效的防止黑客攻擊！

❽ 上傳織夢源碼，出現高危警告!! - 雲服務 入侵檢測系統怎麼辦

程序有後門吧，要不就是有漏洞沒修復，所以有危險提示，提示的話，都會提示具體哪個文件有問題，看看那個文件是不是程序自帶的，和織夢原始程序對比下了

❾ 織夢根目錄被惡意上傳很多文件

更新補丁也沒什麼用，織夢CMS漏洞太多，比較好的辦法就是：把網站的寫入許可權給關閉，更新網站的時候再打開寫入許可權，雖然比較繁瑣，但還是最有效的。我的站www.jk8090.com每天都被攻擊，即使在更新網站那段時間里，有時也被上傳一些php文件，這些文件設置了比較高的許可權，在FTP里都刪不掉，真的很頭疼！