如何防止dede织梦网站被黑挂木马 - A5创业网
扫一扫，联系编辑获得审核机会
符合以下要求，获得报道机会
1. 新公司求报道
2. 好项目求报道
3. 服务商求报道
4. 投资融资爆料
客服热线：400-995-7855
当前位置：&&&
如何防止dede织梦网站被黑挂木马
& 15:53&&来源：互联网&
　　简介：目前选择使有dede织梦cms系统搭建网站的站长很多，国为其代码开源免费，功能又强大，所以是国内最受欢迎使用量最多的的cms，但是与此同时 ，dede织梦cms系统的程序存在漏洞，黑客攻击方法层出不穷，导致网站经常被黑，被百度安全中心等拦截，影响排名和流量，让站长非常
　　目前选择使有dede织梦cms系统搭建网站的站长很多，国为其代码开源免费，功能又强大，所以是国内最受欢迎使用量最多的的cms，但是与此同时 ，dede织梦cms系统的程序存在漏洞，黑客攻击方法层出不穷，导致网站经常被黑，被百度安全中心等拦截，影响排名和流量，让站长非常头疼，下面总结一些防止dede织梦cms系统被攻击设置的方法，可有效的防止织梦系统被挂马，仅供各位站长参考。
　　1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称如diy_
　　2.装好dede织梦cms系统后删除装文件install
　　3.修改织梦后台文件目录：把默认的dede改成其他名字
　　4.织梦后台后台密码尽量复杂化：密码应该由大写字母、小写字母和数字组成
　　5.将系统的data目录迁移到根目录以外：data目录是系统缓存和配置文件的目录,一般都有可以读写的权限，只要是能够写入的目录都可能存在安全隐患，很多站长甚至给予这个目录可执行的权限，更是非常危险,所以我们建议将这个data目录搬移出Web可访问目录之外
　　6.不用会员系统，就把member整个文件夹全部
　　7.用不到留言本，就把plus下的guestbook文件删除
　　8.不用下载功能，就把管理目录下的soft__xxx_xxx.php删除
　　9.如果是使用HTML，可以把plus下的相应文件和根目录下的index.php删除
　　10.不用专题功能可以把special文件夹删除
　　11.用不到企业模块可以把company文件夹删除
　　12.不用下载发布功能可以把管理目录下soft__xxx_xxx.php删除
　　13.删除后台的文件式管理器：通过后台的文件式管理器，可以修改网站的任何文件，为了安全，建议把管理目录下file_manage_xxx.php删除
　　14.如果不需要SQL命令运行器的可以把管理目录下的sys_sql_query.php删除
　　15.另外一些用不到的文件都删除，还可以把数据库里面不用的表删除掉
　　16.对织梦及时升级打补丁。作为织梦官网，升级也是经常在做的，我们在登陆网站后台的时候，如果看到有升级提醒，需要及时升级文件，以防止因为没有升级造成漏洞入侵。一般常见的安全，官网会第一时间发现，并且提供补丁
　　17.不要忘记定期对数据备份。对于备份大家都知道，有利网站的安全，定期备份数据是任何网站都必须做的，不仅仅是DEDECMS
　　这些是常用的防攻击方法，但是，道高一尺，魔高一丈，网站排名好了，流量多了，就会有人想尽办法攻击你的网站，最好的办法是定期备份，并把备份文件下载到电脑安全的地方保存好，网站如果被攻击，把空间里面的文件全部删除，上传备份文件即可。
扫一扫关注A5创业网公众号
责任编辑：黄忠
现在黑链这个行业越来越发达了，出售黑链的朋友到处都是，在比较出名的几个站长工具网站里，经常都可以看到出售黑链的朋友挂的广告，至于他们的黑链是怎么得来的呢?有的是正规途径获取，有的则是以非法的手段挂上别人网站的链接，然后进行出售，要是被挂上百度拔毛的网站链接呢?很明显，那将会连累到自己的站点被降权，甚
每个网站程序都会存在一定的安全隐患，destoon也不例外，下面无忧主机小编介绍一些常规的该网站的安全设置方法，使得网站安全隐患降到最低。1、创始人密码安全由于系统创始人拥有网站的最高权限，所以我们在设置密码的时候最好是设置复杂一点，不要使用123456这样的低级密码，以免被破解2、后台登入地址De
黑链又称隐链、暗链，通常是指通过不正常手段获取得到的反向链接。目前，最常见的获取黑链的方法就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的webshell，从而在目标网站上链接自己的网站该种行为属于为牟取利益而采取的不合法手段，百度对此种做法的惩罚非常严重。但是往往网络中总是存在着这种现
核心总结：php-fpm子进程所使用的用户，不能是网站文件所有者。凡是违背这个原则，则不符合最小权限原则。根据生产环境不断反馈，发现不断有php网站被挂木马，绝大部分原因是因为权限设置不合理造成。因为服务器软件，或是php程序中存在漏洞都是难免的，在这种情况下，如果能正确设置Linux网站目录权限，
网上有很多CMS开源程序，发现很多朋友或做医院的都用到DEDECMS，之前我也使用过，不过后来被挂过几次马，就觉得DEDE也不什么好，不过做垃圾站的话，排名效果还是不错的，至少对百度的收录和排名都比较友好。任何一款开源程序都存在或多或少的漏洞，只是没被别人发现而已。自己不能开发这么强大的系统，只能拿
A5创业网（公众号：iadmin5）6月7日报道，2018年5月底，百度搜索将上线“极光算法”，旨在倡导资源方和站长们重视网站落地页时间规范。百度方面称，在极光算法生效后，我们将要调整网站的优化策略。
内容是最难写的，尤其是那种“为赋新词强说愁”纯为了网站原创，网站内容更新的内容，更是枯燥无味，互联网是一个内容泛滥的世界，搜索引擎固然对习惯定期更新原创的网站偏好有加，但是不要忘记了，到底内容有没有用，用户才说的算!
做好SEO数据分析这已经成了每个SEO，每天的必备功课，通过这些数据指标可以帮助我们准确的抓住用户动向和网站的实际状况。在根据这些数据结合网站的实际情况做出调整，同时也是一种衡量指标。
如果把整个网站本身比喻成一个人的话，那么网站首页的标题则是大脑，网站的架构设计便是骨头，网站的内链便是筋脉，网站的内文便是肌肉，网站布局的关键词则是血液，融入到网站的各个角落，网站的主题便是外在形象，网站的外链作为联通外在的媒介，则是人际交往。
石家庄马慧SEO：这两天刚好网站某些地方稍微改版，顺便清理一下之前加过的友情链接，为何要清理?一直加不好吗?说实话，小小课堂也不好意思取消链接，但是没办法，因为马慧一定会去把自己认为对的事情做一遍。
网站内部链接优化是搜索引擎优化决定性步骤之一。许多网站做的不好的原因就包含内部链的优化做的不理想。古语有云，所谓攘外必先安内，我们要先把内部的事情解决好，才能去做外部的事情。今天就从两点分析网站的内部链问题。
seo外链发布之论坛外链优化的七种发布方式：1，个人主页。2，自我介绍。3，兴趣爱好。4，签名。5，文本链接。6，超链接。7，纯文本，即以文字的形式存在(又称品牌词)，不存在给网站引蜘蛛及提升权重的效果。
百度经验发外链？是的，你没有听错，笔者通过一系列的操作总结，百度经验平台的外链很好发，发了之后很快会被百度蜘蛛检索发现，因为是百度自身的平台，会给予优先收录与参与排名的机会。
任何事物的成败离不开“术”与“谋”。何为术？产品为术。何为谋？战略为谋。有术无谋则“体不载魂”。所以，在搜索升级2.0时代的百度需要术谋结合，才能在搜索生态的棋盘局抢占先机。
在领先AI技术支持下，百度搜索已经进入了智能“新搜索”时代，相比较传统搜索，“新搜索”时代下，通过搜索引擎技术升级，能够满足用户对于内容结构化、知识化、富媒体化要求的提高
创业好项目
写了4年多博客 我选择了从头再来
扫描二维码关注A5创业网了解最新创业资讯服务
&徐州八方网络科技有限公司&版权所有&
举报投诉邮箱：
扫一扫关注最新创业资讯DESTOON前台getshell
&简要描述：
详细说明：
\module\know\answer.inc.php
143 - 161行&
case 'raise': //这个功能是 &知道功能& 悬赏的次数更新,因为默认只允许2次提高悬赏的次数
if($credit & 1) dalert($L['select_credit'], 'goback');
//这里credit 不能小于 1
//由于php是弱语言,所以 1xxx 这样被转换过去就变成了 1 条件也就成立了
if($credit & $_credit) dalert($L['lack_credit'], 'goback');
$could_raise = $could_//是否是 &知道&发布的作者.
if($item['process'] != 1) $could_raise =
if($item['raise'] &= $MOD['maxraise'])
$could_raise =
//$MOD['maxraise']就是最大能 &提高悬赏& 次数。
if($could_raise) { //条件通过进入这个流程
if($credit &= $MOD['raisecredit']) {
$addtime = $DT_TIME;
$totime = $DT_TIME + $MOD['overdays']*86400 + $MOD['raisedays']*86400;
$addtime = $item['addtime'];
$totime = $item['totime'] + $MOD['raisedays']*86400;
$db-&query(&UPDATE {$table} SET credit=credit+$credit,raise=raise+1,addtime=$addtime,totime=$totime WHERE itemid=$itemid&); //看直接带入了 credit+$credit ,由于他$credit 并没有 int掉,所以导致能注入...
但是有点就是防注入绕不过去了...慢蛋疼的&
safe.func.php中的
&/select([\s\S]*?)from/i&
这个绕不过.不能子查询的话 也有没有多大的危害。于是我又找找,找到一个能提高危害等级的一段代码。
在 /module/know/show.inc.php中 （这个文件就是展示信息用的）
首先看第6行&
$item = $db-&get_one(&SELECT * FROM {$table} WHERE itemid=$itemid&);
item是等于我们 &提问知道& 的数据。由于我们掌握了一个 update的注入点，想更新什么都行咯。
再看最后2行&
if($item['template']) $template = $item['template'];// 这个我们可以更新来达到包含的目的
include template($template, $module);//这个函数并不陌生..上次提交了个命令执行也是这个步骤
function template($template = 'index', $dir = '') {
global $CFG;
$to = $dir ? DT_CACHE.'/tpl/'.$dir.'-'.$template.'.php' : DT_CACHE.'/tpl/'.$template.'.php';
$isfileto = is_file($to);
if($CFG['template_refresh'] || !$isfileto) {
if($dir) $dir = $dir.'/';
$from = DT_ROOT.'/template/'.$CFG['template'].'/'.$dir.$template.'.htm';
if($CFG['template'] != 'default' && !is_file($from)) {
$from = DT_ROOT.'/template/default/'.$dir.$template.'.htm';
if(!$isfileto || filemtime($from) & filemtime($to) || (filesize($to) == 0 && filesize($from) & 0)) {
require_once DT_ROOT.'/include/template.func.php';
template_compile($from, $to);
如果是在win下就直接可以返回路径了,
if(!$isfileto || filemtime($from) & filemtime($to) || (filesize($to) == 0 && filesize($from) & 0)) {
这几个条件都不会成立.会 return $
但是在 linux下 ,是不能跳出不存在的目录的。
但是destoon很好的给我们创建了目录。
template_compile($from, $to);创建缓存文件。
function template_compile($from, $to) {
$content = template_parse(file_get($from));
file_put($to, $content);//关键是这个 file_put会帮我们创建目录,
function template_parse($str) {
global $CFG;
$str = preg_replace(&/\&\!\-\-\[(.+?)\]\-\-\&/&, &&, $str);
$str = preg_replace(&/\&\!\-\-\{(.+?)\}\-\-\&/s&, &{\\1}&, $str);
$str = preg_replace(&/\{template\s+([^\}]+)\}/&, &&?php include template(\\1);?&&, $str);
$str = preg_replace(&/\{php\s+(.+)\}/&, &&?php \\1?&&, $str);
$str = preg_replace(&/\{if\s+(.+?)\}/&, &&?php if(\\1) { ?&&, $str);
$str = preg_replace(&/\{else\}/&, &&?php } else { ?&&, $str);
$str = preg_replace(&/\{elseif\s+(.+?)\}/&, &&?php } else if(\\1) { ?&&, $str);
$str = preg_replace(&/\{\/if\}/&, &&?php } ?&\r\n&, $str);
$str = preg_replace(&/\{loop\s+(\S+)\s+(\S+)\}/&, &&?php if(is_array(\\1)) { foreach(\\1 as \\2) { ?&&, $str);
$str = preg_replace(&/\{loop\s+(\S+)\s+(\S+)\s+(\S+)\}/&, &&?php if(is_array(\\1)) { foreach(\\1 as \\2 =& \\3) { ?&&, $str);
$str = preg_replace(&/\{\/loop\}/&, &&?php } } ?&&, $str);
$str = preg_replace(&/\{([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*\(([^{}]*)\))\}/&, &&?php echo \\1;?&&, $str);
$str = preg_replace(&/&\?php([^\?]+)\?&/es&, &template_addquote('&?php\\1?&')&, $str);
$str = preg_replace(&/\{(\\$[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\+\-\x7f-\xff]*)\}/&, &&?php echo \\1;?&&, $str);
$str = preg_replace(&/\{(\\$[a-zA-Z0-9_\[\]\'\&\$\x7f-\xff]+)\}/es&, &template_addquote('&?php echo \\1;?&')&, $str);
$str = preg_replace(&/\{([A-Z_\x7f-\xff][A-Z0-9_\x7f-\xff]*)\}/s&, &&?php echo \\1;?&&, $str);
$str = preg_replace(&/\'([A-Za-z]+)\[\'([A-Za-z\.]+)\'\](.?)\'/s&, &'\\1[\\2]\\3'&, $str);
$str = preg_replace(&/(\r?\n)\\1+/&, &\\1&, $str);
$str = str_replace(&\t&, '', $str);
$str = &&?php defined('IN_DESTOON') or exit('Access Denied');?&&.$
if($CFG['template_trim']) return strip_nr($str);
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】没有更多推荐了，
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！destoon 网站遭注册机注册。禁IP好像也没有用？？_百度知道
destoon 网站遭注册机注册。禁IP好像也没有用？？
俺的中国龟鳖商务网每天都有好几十个ID被注册机注册。可是在后台禁止了IP可是还是没用。一样可以注册。。。汗有没有更好的方法呀。。
我有更好的答案
1、在安全中心里修改：更换用户注册文件名用户登录文件名用户发布信息文件名2、会员管理-模块设置-基本设置IP注册间隔限制(小时) 别设置为0启用验证码3、审核注册
查看原帖&&
采纳率：68%
为您推荐：
其他类似问题
destoon的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。