织梦上传漏洞

❶ 织梦的漏洞防范

1.清除（./、./install、./dede、./include、./plus、./member 、./images、./uploads、../a、./templets 、./data 、./special、special/index.php）目录及其文件外其他务必设置权限为755；
2.修改./dede（后台目录）为其他名称，避免使用admin、administrator等敏感名称；
3.在根目录./下.htaccess（没有的话可以新建）中新增如下内容：
#保护.htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
#目录执行php脚本限制
RewriteEngine on RewriteCond % !^$
RewriteRule uploads/(.*).(php)$ – [F]
RewriteRule data/(.*).(php)$ – [F]
RewriteRule templets/(.*).(php)$ –[F]
RewriteRule special/(.*).(php)$ –[F]
RewriteRule images/(.*).(php)$ –[F]
#禁止对无索引文件的目录进行文件列表展示
Options -Indexes
在网络BAE安装原版DedeCMS
网络应用引擎（BAE）是网络推出的网络应用开发平台。基于BAE架构，使开发者不需要维护任何服务器，只需要简单的上传应用程序，就可以为用户提供服务。BAE有能力将原本单机的LAMP架构，变成分布式架构。
使用网络Bae云平台服务器安装原版dedecms的方法
下面PHP站教大家怎么在网络Bae上安装原版dedecms
1、打开/install/index.php
查找else if($step==4){ ，（大约122行）在这段代码下面添加以下代码：
$host=getenv(‘HTTP_BAE_ENV_ADDR_sql_IP’);$port = getenv(‘HTTP_BAE_ENV_ADDR_SQL_PORT’);$cfg_dbhost = $host.”:”.$port;$cfg_dbname = ‘数据库名称’;$cfg_dbuser = getenv(‘HTTP_BAE_ENV_AK’);$cfg_dbpwd = getenv(‘HTTP_BAE_ENV_SK’);$cfg_dbprefix = ‘~dbprefix~’;$cfg_db_language = ‘~dblang~’;$dbhost=$cfg_dbhost;$dbuser=$cfg_dbuser;$dbpwd=$cfg_dbpwd;$dbname=$cfg_dbname;$dbprefix=”dede_”;$db_language=”utf-8″;
2、打开/include/common.inc.php
查找 $isSafeMode = @ini_get(“safe_mode”);
修改为：$isSafeMode = false;

❷ 用DEDECMS搭建网站的安全篇：默认模板路径漏洞

一般是你网站程序有漏洞才会被挂马的，有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1.修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2.创建一个robots.txt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3.修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改conn.asp，防止非法下载，也可对数据库加密后在修改conn.asp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4.限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5.自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8. cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10.自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11.例行维护

a.定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员帐密。

c.借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

❸ 织梦网站程序漏洞被人入侵了，应该怎样修复

dedecms网站程序代码的安全很重要，如果网站使用了开源的CMS系统代码，不懂程序技术的话，网站会经常被黑客攻击，如果自己懂程序，那就可以自己针对代码的漏洞进行漏洞修复，不懂的话，就请专业的网站安全公司来完善一下程序上的某些代码漏洞，国内像SINE安全、绿盟安全、启明星辰都是比较专业的安全公司，很多黑客之所以能植入木马病毒，就是抓住了这些网站代码上的漏洞。

❹ 织梦无法上传图片出现一个滚动条

图片不能上传成功的原因大概有以下几种：
1、目录上传权限不够。
2、程序本身漏洞导致，或程序不完整导致。
3、操作系统问题。
检测目录权限
当 提示图片上传失败的时候，我首先检测的是文件权限是否足够。经过检测，文件夹的权限是755表示已经足够，并且已经重新创建了文件夹并赋予最高权限，依然 没有解决该问题，接着检测用户组权限是否足够，通过检测也没有发现任何的问题，因此文件夹权限导致图片不能正常上传的可能性被排除。
网站程序完整性
接着检测网站程序的完整性，发现十多个网站都不能正常上传图片，于是排除了网站程序完整性导致图片上传失败的可能性。
操作系统问题
于是检测 WEB NGINX 服务器，将图片上传文件夹的可执行权限开放，但任然不能成功上传图片。此时，忽然想起了之前配置过 php.ini 配置文 档，将 open_basedir 配置成了网站程序所在根目录 /htdocs，于是将该行代码注释掉，之后便成功的上传了图片，问题被解决掉。但是， 这样做放弃了安全性，有些舍不得。
通过以下方法，不仅让安全性提高，也解决了图片上传失败的问题：
php.ini 中的open_basedir 表示：php程序执行限制在了指定的目录中，这样可以限制入侵者继续提权到操作系统，安全性有更一步的保障。其 中 upload_tmp_dir 表示的是文件上传临时目录，如果设置了 open_basedir 参数，那么 upload_tmp_dir 必须 配置，否则文件上传将不能成功。
总结：遇到图片不能上传，表示相当棘手。需要从上传的图片类型、图片的尺寸、文件夹权限、程序完整性到最后 的系统环境一一分析，遇到问题不要焦急，相信经过透彻的分析与测试，问题总会被解决掉。本文最终解决方法就有两个，注释 open_basedir 该行 代码就能解决问题，如果配置了 open_basedir 那么需要设定文件上传临时目录，最后笔者将 upload_tmp_dir 设定 为 /tmp 后，图片就可以成功上传了！

❺ 织梦首页被劫持添加了keyword和description怎么处理

织梦首页被劫持很常见，首先要找出原因，否则及时修改了TDK，隔一段时间还是被攻击。

一般出现问题原因是：服务器安防和DEDE的漏洞。解决办法可以按照下面方法逐步调整：

1. 先把程序去掉，把静态页面和JS、CSS、图片文件等复制出来，放到服务器上保证站点访问，减少损失。

2. 检查DEDE系统是否该升级更新了，升级到新版本

3. 没用的功能去掉，比如会员系统，还有PLUS文件里面的一些插件，后台目录（DEDE）里面的一些用不到的文件删除。

4. 织梦DEDECMS上传漏洞uploadsafe.inc.php修复、织梦DEDECMS变量覆盖漏洞dedesql.class.php修复。

5. 把账户admin修改为其他，修改后台登录密码，和后台地址。修改数据库账户密码，FTP账户密码。

6. 有条件就一个文件夹一个文件夹的去查杀木马，没条件的话，可以重装织梦，恢复数据。安装好织梦后，删除install目录。

7. 如果服务器安防自己能做好保持现状就行，做不好，可以考虑网络云或者阿里云的云主机。起码安全一些。
   

功能和插件删减可以参考下面：

member文件夹（会员）

special文件夹（专题）

plus文件建议只保留如下文件：count.php（文章浏览次数），list.php（动态栏目），search.php（搜索），view.php（动态文章）

dede目录不必要的文件

以file_xx .php开头的系列文件及tpl.php【文件管理器】

soft_add.php、soft_config.php、soft_edit.php【软件下载类】

mail_file_manage.php、mail_getfile.php、mail_send.php、mail_title.php、mail_title_send.php、mail_type.php【邮件发送】

media_add.php、media_edit.php、media_main.php【视频控制文件】

以story_xxx.php开头的系列文件【小说功能】

ad_add.php、ad_edit.php、ad_main.php【广告添加部分】

cards_make.php、cards_manage.php、cards_type.php【点卡管理功能文件】

以co_xx .php开通的文件【采集控制文件】

erraddsave.php【纠错管理】

feedback_edit.php、feedback_main.php【评论管理】

以group_xx .php开头的系列php文件【圈子功能】

plus_bshare.php【分享到管理】

以shops_xx .php开头的系列文件【商城系统】

spec_add.php、spec_edit.php【专题管理】

以templets_xx .php开头的系列文件【模板管理】

vote_add.php、vote_edit.php、vote_getcode.php【投票模块】

/dede/templets/目录

删除：以file_xx .htm开头的系列文件及tpl.htm【文件管理器，安全隐患很大】

soft_add.htm、soft_config.htm、soft_edit.htm【软件下载类，存在安全隐患】

mail_file_manage.htm、mail_getfile.htm、mail_send.htm、mail_title.htm、mail_title_send.htm、mail_type.htm【邮件发送】

media_add.htm、media_edit.htm、media_main.htm【视频控制文件】

以story_xxx.htm开头的系列文件【小说功能】

ad_add.htm、ad_edit.htm、ad_main.htm【广告添加部分】

cards_make.htm、cards_manage.htm、cards_type.htm【点卡管理功能文件】

以co_xx .htm开通的文件【采集控制文件】

erraddsave.htm【纠错管理】

feedback_edit.htm、feedback_main.htm【评论管理】

以group_xx .htm开头的系列htm文件【圈子功能】

plus_bshare.htm【分享到管理】

以shops_xx .htm开头的系列文件【商城系统】

spec_add.htm、spec_edit.htm【专题管理】

以templets_xx .htm开头的系列文件【模板管理】

vote_add.htm、vote_edit.htm、vote_getcode.htm【投票模块】

❻ 如何解决织梦cms最新版本5.7漏洞被挂马的方法

织梦的漏洞大多来自它的插件部分（plus），那我们就从这里着手，我们把里面不需要的插件的php文件统统删掉，只保留自己用的上的友情链接，广告系统等，现如今有被所有的“黑客”抓住不放的两个漏洞（mytag.php,download.php）把这两个文件删了，如果你已经中马了，请打开数据库文件，找到这两个数据表，将表里的内容清空！另外到织梦后台，有一个病毒扫描的工具，在系统设置里，点击扫描一下你的网站文件，这样可以把非织梦文件扫描出来，然后删除掉即可！

织梦网站被挂马工具批量挂马
dedecms的系统漏洞，被入侵的话，常见是在data/cache、根目录下新增随机命名目录或数字目录等目录有后门程序。另外，站长要定期维护网站的时候，通过FTP查看目录，根据文件修改时间和名称判断下有无异常。在近期修改的文件中注意筛查，找到批量挂马程序后，一般是个asp和php网页，在FTP工具里，点右键选择“查看”源文件后确认删除。

找到挂马页面批量清理
一些挂马程序会提供织梦后门，在浏览器中输入你的域名/目录/挂马程序的文件名，出来的页面一般要求输入密码，输入刚才复制的密码，进入批量挂马工具。在这个工具里，功能很多，有提权，文件管理，文件上传，批量挂马，批量清马等等。我们可以用这个“批量清马”功能来清楚网站上的挂马代码。查看下挂马代码，复制到批量清马工具下面的输入框里，点开始就可以了。

网站重新生成html静态页面
dedecms本身自带的生成html功能来清理挂马代码，把整个网站重新生成一遍，代码自然就没了。不过这个方法只适合没给php文件挂马的情况下使用。假如php文件被挂马的话，这个方法是没用的。
http://jingyan..com/article/e2284b2b76edc0e2e6118dfa.html

❼ 为什么大家都说织梦dedecms不安全

实际任何程序都有漏洞 只不过用织梦的人比较多 windows系统每天还那么多漏洞恩！
你网络一下“织梦DedeCMS实用技巧-八大安全措施”这篇文章介绍如果防止黑客攻击织梦系统，青龙建站教程自学网建议你网站装上网络云加速， 这样能够更有效的防止黑客攻击！

❽ 上传织梦源码，出现高危警告!! - 云服务 入侵检测系统怎么办

程序有后门吧，要不就是有漏洞没修复，所以有危险提示，提示的话，都会提示具体哪个文件有问题，看看那个文件是不是程序自带的，和织梦原始程序对比下了

❾ 织梦根目录被恶意上传很多文件

更新补丁也没什么用，织梦CMS漏洞太多，比较好的办法就是：把网站的写入权限给关闭，更新网站的时候再打开写入权限，虽然比较繁琐，但还是最有效的。我的站www.jk8090.com每天都被攻击，即使在更新网站那段时间里，有时也被上传一些php文件，这些文件设置了比较高的权限，在FTP里都删不掉，真的很头疼！