dedecms一直是非常受歡迎的建站cms，主要得益于兩大站長網(wǎng)的全力支持；但是人多，cms太流行，也會被別有用心的人盯上。我的網(wǎng)站一直在用dedecms，前段時間又被攻擊了。攻擊的目的很簡單，就是黑鏈接。知道后，稍微修改一下代碼，就恢復了。不是很嚴重；期間網(wǎng)站莫名上傳文件，與上次類似，雖然對方還沒有來得及修改網(wǎng)站模板，但這說明該網(wǎng)站的安全防范措施還沒有到位，對方可能隨時重新獲得管理員權(quán)限，因此應特別注意站點的安全防范措施。

因為喜歡追根究底，所以去網(wǎng)上找了相關(guān)資料，發(fā)現(xiàn)這確實是dedecms的一個漏洞。黑客可以使用多維變量來繞過常規(guī)檢測。該漏洞主要出現(xiàn)在/plus/mytag_js.php。原理很簡單，準備一個MySQL數(shù)據(jù)庫，攻擊已知網(wǎng)站的數(shù)據(jù)庫。通過在數(shù)據(jù)庫中寫入一段代碼，只要寫入成功，以后就可以利用這些代碼獲取后臺管理員權(quán)限。

結(jié)合我的網(wǎng)站被攻擊和其他人的類似經(jīng)歷，黑客編寫的文件主要存在于/plus/文件夾中。目前已知的文件有g(shù)a.php、log.php、b.php、b1.php等，文件的特點是體積短，內(nèi)容少，寫起來可能不是很方便，但是這些文件的功能代碼量確實不小。

這是ga.php 文件中的部分代碼：

不

評估（$_POST[1]）

？

不

評估（$_POST[1]）

？

不

評估（$_POST[1]）

？

實際代碼比上面截取的要長一些，不過是這段代碼的重復。至于log.php的代碼，和這一段差不多，只有一句話，簡單明了。 PHP 是一個單句木馬?？梢允褂靡恍┲付ǖ墓ぞ邅韴?zhí)行此代碼。預計是破解密碼的功能。

既然知道了對方利用了什么樣的漏洞，同時也知道了對方利用了什么樣的原理來鉆空子，那么如何才能避免這些危險的事情發(fā)生呢？查閱了很多資料，初步整理出以下預防漏洞被利用希望對同樣應用dedecms的站長朋友有所幫助。

1.升級版本打補丁設置目錄權(quán)限

這是對此的官方解決方案。不管你用的是什么版本的dedecms，都必須在后臺升級版本，及時自動更新補丁。這是避免漏洞被利用的最重要的一步；同時官方也提供了設置目錄的方法，主要是設置data、templets、uploads、a為讀寫和不可執(zhí)行的權(quán)限； include、member、plus、后臺管理目錄等設置可執(zhí)行、可讀、不可寫權(quán)限；刪除install和special目錄，看官方說明如何設置。

2.修改admin賬號和密碼

黑客可能會使用默認的admin賬號，通過猜測密碼進行破解，所以修改默認的admin賬號非常重要。至于怎么修改，有很多種方法。比較有效的方法是用phpadmin登錄網(wǎng)站數(shù)據(jù)庫，找到dede_admin數(shù)據(jù)庫表（dede是數(shù)據(jù)庫表前綴），修改userid和pwd，密碼一定要改成f297a57a5a743894a0e4，也就是默認密碼admin ;修改后去后臺登錄，登錄dede后臺后修改密碼。

三、其他注意事項

至于更多的細節(jié)，也要注意，盡量不要選擇太便宜的空間，太便宜的空間容易出現(xiàn)服務器本身的安全問題，只要服務器出了問題，服務器下的整個網(wǎng)站都會丟失.還有，如果不是必須的，盡量不要開會員注冊什么的，用起來很麻煩；至于網(wǎng)站的后臺目錄，不要寫在robots.txt里，至少一個月?lián)Q一次。替換它以避免猜測它與其他帳戶密碼相同。

經(jīng)過幾次網(wǎng)站被攻擊，不得不說，互聯(lián)網(wǎng)不是一個可以安枕無憂的網(wǎng)絡。作為站長，你可以看作是一個編織網(wǎng)絡的人，更應該注意網(wǎng)絡安全；只要按照要求做好這些防范措施，別說100%，至少95%都可能無法成功獲得后臺權(quán)限。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！