dedecms一直是非常受歡迎的建站cms，主要得益于兩大站長(zhǎng)網(wǎng)的全力支持；但是人多，cms太流行，也會(huì)被別有用心的人盯上。我的網(wǎng)站一直在用dedecms，前段時(shí)間又被攻擊了。攻擊的目的很簡(jiǎn)單，就是黑鏈接。知道后，稍微修改一下代碼，就恢復(fù)了。不是很嚴(yán)重；期間網(wǎng)站莫名上傳文件，與上次類似，雖然對(duì)方還沒有來得及修改網(wǎng)站模板，但這說明該網(wǎng)站的安全防范措施還沒有到位，對(duì)方可能隨時(shí)重新獲得管理員權(quán)限，因此應(yīng)特別注意站點(diǎn)的安全防范措施。

因?yàn)橄矚g追根究底，所以去網(wǎng)上找了相關(guān)資料，發(fā)現(xiàn)這確實(shí)是dedecms的一個(gè)漏洞。黑客可以使用多維變量來繞過常規(guī)檢測(cè)。該漏洞主要出現(xiàn)在/plus/mytag_js.php。原理很簡(jiǎn)單，準(zhǔn)備一個(gè)MySQL數(shù)據(jù)庫，攻擊已知網(wǎng)站的數(shù)據(jù)庫。通過在數(shù)據(jù)庫中寫入一段代碼，只要寫入成功，以后就可以利用這些代碼獲取后臺(tái)管理員權(quán)限。

結(jié)合我的網(wǎng)站被攻擊和其他人的類似經(jīng)歷，黑客編寫的文件主要存在于/plus/文件夾中。目前已知的文件有g(shù)a.php、log.php、b.php、b1.php等，文件的特點(diǎn)是體積短，內(nèi)容少，寫起來可能不是很方便，但是這些文件的功能代碼量確實(shí)不小。

這是ga.php 文件中的部分代碼：

不

評(píng)估（$_POST[1]）

？

不

評(píng)估（$_POST[1]）

？

不

評(píng)估（$_POST[1]）

？

實(shí)際代碼比上面截取的要長(zhǎng)一些，不過是這段代碼的重復(fù)。至于log.php的代碼，和這一段差不多，只有一句話，簡(jiǎn)單明了。 PHP 是一個(gè)單句木馬。可以使用一些指定的工具來執(zhí)行此代碼。預(yù)計(jì)是破解密碼的功能。

既然知道了對(duì)方利用了什么樣的漏洞，同時(shí)也知道了對(duì)方利用了什么樣的原理來鉆空子，那么如何才能避免這些危險(xiǎn)的事情發(fā)生呢？查閱了很多資料，初步整理出以下預(yù)防漏洞被利用希望對(duì)同樣應(yīng)用dedecms的站長(zhǎng)朋友有所幫助。

1.升級(jí)版本打補(bǔ)丁設(shè)置目錄權(quán)限

這是對(duì)此的官方解決方案。不管你用的是什么版本的dedecms，都必須在后臺(tái)升級(jí)版本，及時(shí)自動(dòng)更新補(bǔ)丁。這是避免漏洞被利用的最重要的一步；同時(shí)官方也提供了設(shè)置目錄的方法，主要是設(shè)置data、templets、uploads、a為讀寫和不可執(zhí)行的權(quán)限； include、member、plus、后臺(tái)管理目錄等設(shè)置可執(zhí)行、可讀、不可寫權(quán)限；刪除install和special目錄，看官方說明如何設(shè)置。

2.修改admin賬號(hào)和密碼

黑客可能會(huì)使用默認(rèn)的admin賬號(hào)，通過猜測(cè)密碼進(jìn)行破解，所以修改默認(rèn)的admin賬號(hào)非常重要。至于怎么修改，有很多種方法。比較有效的方法是用phpadmin登錄網(wǎng)站數(shù)據(jù)庫，找到dede_admin數(shù)據(jù)庫表（dede是數(shù)據(jù)庫表前綴），修改userid和pwd，密碼一定要改成f297a57a5a743894a0e4，也就是默認(rèn)密碼admin ;修改后去后臺(tái)登錄，登錄dede后臺(tái)后修改密碼。

三、其他注意事項(xiàng)

至于更多的細(xì)節(jié)，也要注意，盡量不要選擇太便宜的空間，太便宜的空間容易出現(xiàn)服務(wù)器本身的安全問題，只要服務(wù)器出了問題，服務(wù)器下的整個(gè)網(wǎng)站都會(huì)丟失.還有，如果不是必須的，盡量不要開會(huì)員注冊(cè)什么的，用起來很麻煩；至于網(wǎng)站的后臺(tái)目錄，不要寫在robots.txt里，至少一個(gè)月?lián)Q一次。替換它以避免猜測(cè)它與其他帳戶密碼相同。

經(jīng)過幾次網(wǎng)站被攻擊，不得不說，互聯(lián)網(wǎng)不是一個(gè)可以安枕無憂的網(wǎng)絡(luò)。作為站長(zhǎng)，你可以看作是一個(gè)編織網(wǎng)絡(luò)的人，更應(yīng)該注意網(wǎng)絡(luò)安全；只要按照要求做好這些防范措施，別說100%，至少95%都可能無法成功獲得后臺(tái)權(quán)限。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn)，每一個(gè)項(xiàng)目承諾做到滿意為止，多一次對(duì)比，一定讓您多一份收獲！