最新織夢cms漏洞之安全設置,有效防護木馬

織夢CMS在安裝完成后，新人往往會直接開始開發使用，忽視了一些安全優化的操作，這樣會導致后期整個系統安全系數降低，被黑或者被注入的概率極高，畢竟這世界百分百存在著極多的無聊hacker對全網的網站進行掃描，掃到你這個菜站，尤其是使用率極高的DEDECMS，對你的站點下手的欲望更高，所以在開發前做好安全防范還是很有必要的！

安全設置前：備份網站文件及數據庫

系統安全優化設置之前，做好備份工作。網站備份是網站維護必須必學基礎，參考教程<<DEDECMS織夢網站備份教程>>

安全設置一：刪文件

安裝完成后會有一些文件，可以說是冗余文件，完全沒有作用，反而帶來被黑的危險，刪除即可，以下目錄文件均可刪除：

安全設置二：后臺目錄及賬號密碼修改

①網站后臺文件改名：默認后臺目錄是/dede，需要將這個文件夾的名稱修改，比如改為WangZhan123@+，那么后臺登陸地址就由www.xxx.com/dede變為www.xxx.com/WangZhan123@+，(不定期更改一下)

②后臺登錄密碼請勿使用admin，參考修改教程<<織夢修改管理員賬號admin方法大全>>

安全設置三：目錄權限設置

①有條件的用戶把中 data、templets、uploads、html（可刪）、special（可刪）、images、install（裝后刪）目錄設置為不允許執行腳本，include、plus、dede目錄禁止寫入，系統將更安全；

②網站根目錄設置為755權限(即www權限)，這樣子根目錄下的所有文件夾均為755權限

③老版本若登錄后臺提示驗證碼錯誤，選中/data目錄，將權限設置為完全控制（可讀可寫）權限

安全設置四：主機安全防護

可下載第三方防護插件，例如：『D盾_防火墻』 、360出品的"織夢CMS安全包" 、百度旗下安全聯盟出品的"DedeCMS頑固木馬后門專殺"、服務器安全狗、啟用HTTPS證書配置；

安全設置五：利用偽靜態功能禁止以下目錄運行php腳本

① linux主機的用戶一般都是apache環境，使用 .htaccess 文件來設置，如果你網站根目錄已經存在這個文件，那就復制一下代碼添加進去。

②：windows主機的用戶一般都是iis7、iis8環境，使用 web.config 文件來設置，請確認你的主機已經開啟了偽靜態而且網站根目錄有 web.config 文件，有這個文件的可以復制以下代碼添加到對應的rules內。

③：Nginx下禁止指定目錄運行PHP腳本

注意:這段配置文件一定要放在 location ~ .php(.*)$ 的前面才可以生效，配置完后記得重啟Nginx生效。

測試有沒有生效，可以隨便創建一個PHP文件傳到uploads文件夾下，執行：域名/uploads/測試文件.php  如果不能打開說明生效。

安全知識六：常見木馬文件

迄今為止，我們發現的惡意腳本文件有

 plus/90sec.php
plus/ac.php 
plus/config_s.php 
plus/config_bak.php 
plus/diy.php (系統文件)
plus/ii.php 
plus/lndex.php 
data/cache/t.php 
data/cache/x.php
data/cache/mytag-*.htm
data/config.php 
data/cache/config_user.php 
data/config_func.php
include/taglib/shell.lib.php
include/taglib/*.lib.php

大多數被上傳的腳本集中在plus、data、data/cache、include這幾個目錄下，請仔細檢查這幾個目錄下最近是否有被上傳異常文件。

推薦D盾—WEB查看工具：

軟件使用自行研發不分擴展名的代碼分析引擎，能分析更為隱藏的WebShell后門行為。

引擎特別針對,一句話后門，變量函數后門，${}執行 ，`執行，

preg_replace執行,call_user_func,file_put_contents,fputs 等特殊函數

的參數進行針對性的識別，能查殺更為隱藏的后門，

并把可疑的參數信息展現在你面前，讓你能更快速的了解后門的情況

新版特別針對 dedecms 的{dede:php}{/dede:php}代碼加入了識別！

軟件加入隔離功能，并且可以還原！

如有不能識別的webshell請使用上傳樣本功能上傳給我們，我們將后期加入識別!

下載：http://www.d99net.net/down/WebShellKill_V1.4.1.zip