織夢sql注入
① 請問網站Dedecms recommend.php sql注入漏洞怎麼修復
這個漏洞是織夢cms 2013-9-22爆出的一個sql注入漏洞,解決辦法其實很簡單。你只要打了織夢最新補丁即可。如果你進行了二次開發請提前做好備份。更多織夢安全的設置可以去織夢雲官網看下: http://www.dedeyun.com/news/safe/ 織夢只要設置後還是很安全的。
② 織夢CMS安裝後進入後台提示用戶名不存在
第一步:打開資料庫dede_admin表
第二步:把以前能登錄的資料庫中的賬號、密碼復制到文本文檔中備用。
第三步:打開不能登錄的那個資料庫,並且高肆找到dede_admin,打開看看。把第二步中的賬號、密碼復制到對應的欄目中。
然後打開織夢後台地址,已經能夠登錄到織夢後台了。
至此雖然用戶名及密碼都有效了,可我們要反思,為什麼會出現這種情況呢?今天我們修改纖念辯過來,會不會過一段時間又被人修改了呢?於是筆者又進入下一步的工作。
通過360
網站衛士檢測,發現網站存在「DedeCMS最新SQL注入漏洞」,此漏洞能夠通過毀缺SQL注入使用戶名和密碼變更。解決辦法,下載該漏洞補丁進行更新。
至此登錄織夢後台提示用戶名不存在的問題得到解決
③ 織夢dede不能備份,含有SQL注入,訪問被阻
織夢後台-系統-還原備份資料庫
如果無法訪問,建議檢查一下後台的執行許可權
檢查一下後台文件是否完整無錯
另外,織夢的data文件夾需要寫入許可權才能正常備份哦
④ dedecms的站點,總是被攻擊,怎麼辦
您好,朋友。跟版網團隊很高興為您解答:
這個之前我們有寫過一篇文章,希望能夠幫到您!
一、安全刪除篇:
織夢的功能模塊告斗是很多的,對於一般企業而言,簡單的文檔發布就夠用了,刪除一些不用的模塊是做好安全的第一步。可以刪除的模塊如下,請各位朋友按照需求刪除。尤其是plus目錄的一些文件,未用到的盡量刪除,因為織夢歷史上漏洞基本上是這個目錄的文件。
member目錄:會員功能,一般用不到
special目錄:專題功能 ,很少有人用
install目錄:安裝程序,安裝完成後必須刪除
tags.php文件:根目錄tags標簽文件
對於plus目錄,個人認為只留下面這些文件即可:
plus/ad_js.php 廣告模塊,如果用到廣告請保留。
plus/count.php 內容頁點擊統計模塊,有調用點擊率的請保留
plus/diy.php 自定義表單,用到自定義表單請保留
plus/list.php 列表頁模塊,必須保留
plus/view.php 內容頁模塊,必須保留
對於織夢後台而言,盡量刪除以下文件:
file_manage_control.php, file_manage_main.php, file_manage_view.php
media_add.php,media_edit.php,media_main.php
另外將後台不用的模塊盡量卸載並刪除:
一、安全許可權篇:
1.將data、templets、uploads、html、images目錄設置為不允許執行腳本。這個一般空間商都有提供設置,如果是獨立伺服器那麼設置更容易。
2.如果有其他非織夢文檔生成目錄,請盡量設置為禁止寫入。
3.data下的common.inc.php文件請設置為只讀模式。
4.data目錄下的mysql_error_trace.inc 這個文件是記錄錯誤的,也很容易暴露後台地址,建議將此文件清空並設置為只讀模式。當然您也可以參考網上方法將它改為其他名字。
三、安全設置篇:
首先後台地址,管理員用戶名和密碼不要使用默認的。很多新手為了圖方便就用默認的,用默認的你的網站不被黑才奇怪了。建議將後台地址改為比較復雜的,用戶名和密碼都改為較長的,最好加一些特殊符號。
將data目錄遷移出網站根目錄。這個可參考官方設置,有條件的朋友操作下會更安全。
在模板文件中盡量不要使用{dede:global.cfg_templets_skin/},也不要將images和css文件放到模板目錄中去讀取,這樣可以暴露你的模板目錄,輕而易舉將您的模板文件拷貝出去。
如果您有用到ftp,盡量在不使用的時候關閉,或者將您的ftp設置強大點,弱的密碼很容易被猜到。
很多空間商提供phpmyadmin管理,在這里提醒各磨友運位朋友,請勿將phpmyadmin放到網站根目錄。
另外資料庫的用戶名和密碼也設置強大點,不要用root,root
四、安全其他篇:
1.請及時關注官方的漏洞補丁,常規補丁不要急於打。因為可能涉及到瞎梁其他問題,緊急性的補丁請及時做好升級。但是升級前做好備份。
2.如果您的網站用的是空間,請保證空間商技術足夠過硬,很多網站放在一個伺服器上,還可以旁註,那你怎麼設置都是無用。如果您用的是獨立伺服器,可以在上面裝一些防護軟體,這些軟體至少能幫你抵擋很大一部分想黑你站的人。
3.請不要使用一些加密的插件,這些插件很大一部分存在後門。一不小心就中招了。
4.選擇空間商盡量選擇比較大的空間商。域名和空間或者伺服器最好在一個平台,並做好賬戶安全設置。(跟版網原創)
⑤ Dedecms織夢安全設置之如何防止掛木馬與sql注入
首先做好程序的防護,更新所有的安全補丁
然後在伺服器上做好安全防護,安裝防護軟體,安全狗之類的
可以防護大部分的攻擊
時常關注織夢最新的漏洞消息,及時更新程序。
⑥ 織夢留言板被SQL注入大量留言,怎麼快速刪除
直接資料庫表清空就行,這個是最快敬遲族的,旦差不過建議還是做好一下過濾及安全防護,不亮弊然下回還是會出現,網站有不懂的俺可以提供技術支持
⑦ 織夢留言板被SQL注入大量留言,怎麼快速刪除
快速刪除留言板上的所有留言詳細操並雀作步驟如下:
第一步:請登錄QQ空間,胡手點擊留言板=》批量管理;
第二步:選擇留言絕做早板中需要刪除的留言,再點擊「刪除選中的」,最後「確定」刪除即可。
註:點擊「全選」後一次性最多可刪除10條留言。
⑧ 織夢的歷史漏洞
【2011-8-19】 DedeCMS全局變數初始化存在漏洞
描述:可能導致黑客利用漏洞侵入使用DedeCMS的網站伺服器,造成網站用戶數據泄露、頁面被惡意篡改等嚴重後果。
【2012-3-21】 DedeCMS官方源碼被植入後門
描述:導致黑客可以執行任意代碼從而控制整個網站或伺服器
【2013-3-29】DedeCMS安全漏洞
描述:「本地文件包含漏洞」,發現時為「0day」,官方已修復
【2013-4-1】DedeCMS 爆SQL注入漏洞
描述:烏雲平台手戚顫曝光, 「0day」,官方已修復
【2013-5-2】DedeCMS「重安裝」高危安全漏洞
描述:被發現「0day」,通知官方修復並啟用臨時修復方案
【2013-6-4】DedeCMS 高危安全漏洞
描述:此漏洞為「0day」,官方已修復
【2013-9-30】DedeCMS 5.7版本高危漏洞
描述:烏雲白帽子上報,「0day」,跨站腳本漏洞,可仔鋒在前台插入惡意JS代碼,黑客已經利用
【2014-1-6】DedeCMS會員投稿跨站腳本漏洞
描述:攻擊者可通過「會員投稿」插入惡意代碼,後台管理審稿時「中招」可導致網站被黑
【2014-2-17】swfupload.swf跨站漏洞
描述:該漏洞烏雲平台上報,站長反饋網站在檢測時檢測出此漏洞,已提供修復方案
【2014-3-4】DedeCMS多個安全漏洞
描述:包括2個高危及多個曾經預警的官方沒修復的漏洞。官方發布補丁修復但沒有全部畢敗修復
【2014-03-05】dedecmsV5.7.38 GBK正式版20140305常規更新補丁 member/soft_add.php修復功能錯誤及存在的漏洞member/soft_edit.php修復功能錯誤及存在的漏洞include/filter.inc.php修復功能錯誤及存在的漏洞【2014-03-11】dedecmsV5.7.39 GBK正式版20140311常規更新補丁 data/mole/.xml新增暢言模塊include/helpers/channelunit.helper.php模板標簽解析功能完善include/inc/inc_fun_funAdmin.php更新提示站點遷移完善include/taglib/flink.lib.php友情鏈接標簽緩存完善【2014-03-13】dedecmsV5.7.40 GBK正式版20140313常規更新補丁 include/helpers/channelunit.helper.php修復一個標簽解析錯誤【2014-11-28】DEDECMS官方網被黑,黑客在織夢伺服器端植入惡意代碼,所有織夢用戶訪問後台時會提示下載1.exe文件,該程序為後門,一旦下載便會感染成為遠控端,而且該病毒會實現反復感染。如果用戶為IE瀏覽器,則會直接感染成為遠控端。
⑨ DedeCMS織夢內容管理系統的後台用戶名提示不存在。網站瀏覽正常,資料庫應該正常。織夢解決
是漏洞引起的sql注入,刪拆晌碰除dede_admin表謹悉重新導入,就可以了,給系統打下補丁旅談。詳細文章:http://www.caichao.cn/?p=281
⑩ 織夢dede支付模塊注入漏洞導致SQL注入怎麼修復
你可以用360安全衛士進行全盤檢查,他有智能修復功能如果它提示系統漏洞要修復亂稿,那就是應悉兆該要修復的有的漏洞不用修復他就會忽所睜陪租以不必在意!這樣不會影響系統的運行!