织梦sql注入
① 请问网站Dedecms recommend.php sql注入漏洞怎么修复
这个漏洞是织梦cms 2013-9-22爆出的一个sql注入漏洞,解决办法其实很简单。你只要打了织梦最新补丁即可。如果你进行了二次开发请提前做好备份。更多织梦安全的设置可以去织梦云官网看下: http://www.dedeyun.com/news/safe/ 织梦只要设置后还是很安全的。
② 织梦CMS安装后进入后台提示用户名不存在
第一步:打开数据库dede_admin表
第二步:把以前能登录的数据库中的账号、密码复制到文本文档中备用。
第三步:打开不能登录的那个数据库,并且高肆找到dede_admin,打开看看。把第二步中的账号、密码复制到对应的栏目中。
然后打开织梦后台地址,已经能够登录到织梦后台了。
至此虽然用户名及密码都有效了,可我们要反思,为什么会出现这种情况呢?今天我们修改纤念辩过来,会不会过一段时间又被人修改了呢?于是笔者又进入下一步的工作。
通过360
网站卫士检测,发现网站存在“DedeCMS最新SQL注入漏洞”,此漏洞能够通过毁缺SQL注入使用户名和密码变更。解决办法,下载该漏洞补丁进行更新。
至此登录织梦后台提示用户名不存在的问题得到解决
③ 织梦dede不能备份,含有SQL注入,访问被阻
织梦后台-系统-还原备份数据库
如果无法访问,建议检查一下后台的执行权限
检查一下后台文件是否完整无错
另外,织梦的data文件夹需要写入权限才能正常备份哦
④ dedecms的站点,总是被攻击,怎么办
您好,朋友。跟版网团队很高兴为您解答:
这个之前我们有写过一篇文章,希望能够帮到您!
一、安全删除篇:
织梦的功能模块告斗是很多的,对于一般企业而言,简单的文档发布就够用了,删除一些不用的模块是做好安全的第一步。可以删除的模块如下,请各位朋友按照需求删除。尤其是plus目录的一些文件,未用到的尽量删除,因为织梦历史上漏洞基本上是这个目录的文件。
member目录:会员功能,一般用不到
special目录:专题功能 ,很少有人用
install目录:安装程序,安装完成后必须删除
tags.php文件:根目录tags标签文件
对于plus目录,个人认为只留下面这些文件即可:
plus/ad_js.php 广告模块,如果用到广告请保留。
plus/count.php 内容页点击统计模块,有调用点击率的请保留
plus/diy.php 自定义表单,用到自定义表单请保留
plus/list.php 列表页模块,必须保留
plus/view.php 内容页模块,必须保留
对于织梦后台而言,尽量删除以下文件:
file_manage_control.php, file_manage_main.php, file_manage_view.php
media_add.php,media_edit.php,media_main.php
另外将后台不用的模块尽量卸载并删除:
一、安全权限篇:
1.将data、templets、uploads、html、images目录设置为不允许执行脚本。这个一般空间商都有提供设置,如果是独立服务器那么设置更容易。
2.如果有其他非织梦文档生成目录,请尽量设置为禁止写入。
3.data下的common.inc.php文件请设置为只读模式。
4.data目录下的mysql_error_trace.inc 这个文件是记录错误的,也很容易暴露后台地址,建议将此文件清空并设置为只读模式。当然您也可以参考网上方法将它改为其他名字。
三、安全设置篇:
首先后台地址,管理员用户名和密码不要使用默认的。很多新手为了图方便就用默认的,用默认的你的网站不被黑才奇怪了。建议将后台地址改为比较复杂的,用户名和密码都改为较长的,最好加一些特殊符号。
将data目录迁移出网站根目录。这个可参考官方设置,有条件的朋友操作下会更安全。
在模板文件中尽量不要使用{dede:global.cfg_templets_skin/},也不要将images和css文件放到模板目录中去读取,这样可以暴露你的模板目录,轻而易举将您的模板文件拷贝出去。
如果您有用到ftp,尽量在不使用的时候关闭,或者将您的ftp设置强大点,弱的密码很容易被猜到。
很多空间商提供phpmyadmin管理,在这里提醒各磨友运位朋友,请勿将phpmyadmin放到网站根目录。
另外数据库的用户名和密码也设置强大点,不要用root,root
四、安全其他篇:
1.请及时关注官方的漏洞补丁,常规补丁不要急于打。因为可能涉及到瞎梁其他问题,紧急性的补丁请及时做好升级。但是升级前做好备份。
2.如果您的网站用的是空间,请保证空间商技术足够过硬,很多网站放在一个服务器上,还可以旁注,那你怎么设置都是无用。如果您用的是独立服务器,可以在上面装一些防护软件,这些软件至少能帮你抵挡很大一部分想黑你站的人。
3.请不要使用一些加密的插件,这些插件很大一部分存在后门。一不小心就中招了。
4.选择空间商尽量选择比较大的空间商。域名和空间或者服务器最好在一个平台,并做好账户安全设置。(跟版网原创)
⑤ Dedecms织梦安全设置之如何防止挂木马与sql注入
首先做好程序的防护,更新所有的安全补丁
然后在服务器上做好安全防护,安装防护软件,安全狗之类的
可以防护大部分的攻击
时常关注织梦最新的漏洞消息,及时更新程序。
⑥ 织梦留言板被SQL注入大量留言,怎么快速删除
直接数据库表清空就行,这个是最快敬迟族的,旦差不过建议还是做好一下过滤及安全防护,不亮弊然下回还是会出现,网站有不懂的俺可以提供技术支持
⑦ 织梦留言板被SQL注入大量留言,怎么快速删除
快速删除留言板上的所有留言详细操并雀作步骤如下:
第一步:请登录QQ空间,胡手点击留言板=》批量管理;
第二步:选择留言绝做早板中需要删除的留言,再点击“删除选中的”,最后“确定”删除即可。
注:点击“全选”后一次性最多可删除10条留言。
⑧ 织梦的历史漏洞
【2011-8-19】 DedeCMS全局变量初始化存在漏洞
描述:可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器,造成网站用户数据泄露、页面被恶意篡改等严重后果。
【2012-3-21】 DedeCMS官方源码被植入后门
描述:导致黑客可以执行任意代码从而控制整个网站或服务器
【2013-3-29】DedeCMS安全漏洞
描述:“本地文件包含漏洞”,发现时为“0day”,官方已修复
【2013-4-1】DedeCMS 爆SQL注入漏洞
描述:乌云平台手戚颤曝光, “0day”,官方已修复
【2013-5-2】DedeCMS“重安装”高危安全漏洞
描述:被发现“0day”,通知官方修复并启用临时修复方案
【2013-6-4】DedeCMS 高危安全漏洞
描述:此漏洞为“0day”,官方已修复
【2013-9-30】DedeCMS 5.7版本高危漏洞
描述:乌云白帽子上报,“0day”,跨站脚本漏洞,可仔锋在前台插入恶意JS代码,黑客已经利用
【2014-1-6】DedeCMS会员投稿跨站脚本漏洞
描述:攻击者可通过“会员投稿”插入恶意代码,后台管理审稿时“中招”可导致网站被黑
【2014-2-17】swfupload.swf跨站漏洞
描述:该漏洞乌云平台上报,站长反馈网站在检测时检测出此漏洞,已提供修复方案
【2014-3-4】DedeCMS多个安全漏洞
描述:包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部毕败修复
【2014-03-05】dedecmsV5.7.38 GBK正式版20140305常规更新补丁 member/soft_add.php修复功能错误及存在的漏洞member/soft_edit.php修复功能错误及存在的漏洞include/filter.inc.php修复功能错误及存在的漏洞【2014-03-11】dedecmsV5.7.39 GBK正式版20140311常规更新补丁 data/mole/.xml新增畅言模块include/helpers/channelunit.helper.php模板标签解析功能完善include/inc/inc_fun_funAdmin.php更新提示站点迁移完善include/taglib/flink.lib.php友情链接标签缓存完善【2014-03-13】dedecmsV5.7.40 GBK正式版20140313常规更新补丁 include/helpers/channelunit.helper.php修复一个标签解析错误【2014-11-28】DEDECMS官方网被黑,黑客在织梦服务器端植入恶意代码,所有织梦用户访问后台时会提示下载1.exe文件,该程序为后门,一旦下载便会感染成为远控端,而且该病毒会实现反复感染。如果用户为IE浏览器,则会直接感染成为远控端。
⑨ DedeCMS织梦内容管理系统的后台用户名提示不存在。网站浏览正常,数据库应该正常。织梦解决
是漏洞引起的sql注入,删拆晌碰除dede_admin表谨悉重新导入,就可以了,给系统打下补丁旅谈。详细文章:http://www.caichao.cn/?p=281
⑩ 织梦dede支付模块注入漏洞导致SQL注入怎么修复
你可以用360安全卫士进行全盘检查,他有智能修复功能如果它提示系统漏洞要修复乱稿,那就是应悉兆该要修复的有的漏洞不用修复他就会忽所睁陪租以不必在意!这样不会影响系统的运行!