[融合转载]
实不实用,看着办,我也不懂。
我只做了uploads、data、templets、a 这三个目录做了执行脚本限制设置。
IIS6.0 限制脚本执行(拒绝脚本执行)的设置方法:
--------
织梦各个目录安全详解 做织梦(dedecms)网站安全设置必看
1、a 因为是静态目录,并且在要生成HTML的,所以拒绝脚本执行 允许写入
2、data 因为是缓存等,所以充许写入,但是因为这里面的文件引入到其它地方进行使用,所以要拒绝脚本执行
3、dede 后台管理目录,并且这个一般情况下不需要修改,所以允许脚本执行,拒绝写入
4、images 仅是存系统图片, 所以拒绝脚本执行,拒绝写入
5、include 虽然这个目录有系统库,一般情况下也是引入到其它地方使用,但是也有一些文件需要执行,比如验证码,但是一般不需要修改。所以允许脚本执行,拒绝写入
6、install 这个目录在系统安全完之后,直接delete(删除)。 系统部署之后,这个文件夹就没有用了
7、member 如果不使用会员系统,这个目录夹也可以直接删除。
8、plus 这个插件目录,不需要修改的,允许脚本执行,拒绝写入
9、special 这个专题文件夹,一般我们会改名。与a目录(静态化文件夹)一样,拒绝脚本执行,允许写入
10、templets 这相模板目录,拒绝执行,拒绝写入。黑客heike主要想改的就是它,所以一定要写入,虽然拒绝写入之后,比较麻烦,如果修改模板:要先允许写入,再修改,再改回拒绝写入,但是不要嫌麻烦,毕竟为了安全嘛。
11、uploads 上传目录,不用说必须拒绝脚本,允许写入,一个不小心,heike就给你上传个木马上来了,。
12、官方有要求,强烈建议data/common.inc.php文件属性设置为644(Linux/Unix)或只读(NT);
13、官方有要求,更改默认管理员名称admin,建议您修改为其他管理账号!
除此之外:还有一些需要做的,就是修改后台dede的目录名,减少一个风险,还有就是将data目录根目录之外,这也是官方要求做的,但是不得不说,这会带来很多问题,比如访问根目录下面的index.php会了错,三级联动也会出错。 index.php 可以通过修改代码解决,如果你不需要三级联动功能,可以移出data。
操作方法:
1、修改/include/common.inc.php
将 define('DEDEDATA', DEDEROOT.'/data');
改成: define('DEDEDATA', DEDEROOT.'/../data');
2、到后台系统基本设置->性能选项 里面设置 模板缓存目录为 /../data/tplcache。
---------
dede爆出过很多漏洞,为了不让不法分子有机可乘,我们需要对dede目录进行一个安全的设置,防止入侵等事件。
特别是一些写入的权限需要进行重新设置: 内容来自dedecms
正文: 内容来自dedecms
../ 【站点上级目录】 dedecms.com
如果要使用后台的目录相关的功能需要有列出目录的权限
/ 【站点根目录】
需要执行和读取权限
如果要在根目录下面创建文件和目录的话需要有写入权限
/install 【安装程序目录】
需要有执行和读取权限
建议安装完成以后删除或者改名
/dede 【后台程序目录】
需要有执行权限和读取权限
建议安装完成以后修改目录名称,如qoogle
/include 【主程序目录】
需要有写入、执行权限和读取权限
建议在第一次安装后,去掉写入权限以及修改权限(需要重写配置文件时再暂时开启写入及修改权限) copyright dedecms
/member 【会员目录】 织梦内容管理系统
需要执行、读取和写入权限
建议去掉写入权限以及修改权限 dedecms.com
/plus 【插件目录】
需要有读取、写入和执行的权限
建议在生成完站点地图和RSS文件后去掉写入权限以及修改权限
/data 【站点缓存数据等文件】
需要有读取权限和写入修改权限
建议去掉执行权限
/sessions 织梦内容管理系统
需要有读取、写入、修改 和 执行权限
建议权限为:777(即所有权限都最高,全开放)
/html 【HTML文档默认目录】
需要有读取修改和创建权限
建议去掉执行权限
/templets【模板目录】
需要有读取 修改 写入 权限
建议去掉执行权限 内容来自dedecms
/uploads 【附件目录】
需要写入、读取权限
建议去掉执行权限
/company 【企业黄页程序目录】
需要读取和执行权限
建议去掉写入权限
/special 【专题文件目录】
需要执行、读取、写入和修改权限
/book 【书库模块程序目录】
需要执行、读取、写入和修改权限
/ask 【问答模块程序目录】
需要执行和读取权限
建议去掉写入权限
/group 【圈子模块程序目录】 本文来自织梦
需要执行和读取权限
建议去掉写入权限
========================================
[转载] 织梦网站被挂马怎么办 dedecms防止挂马
织梦dedecms经常被挂马问题对于很多学做网站的同学来说都是没有什么好办法,下面学做网站论坛为各位总结一下dedecms防止挂马问题解决办法。
第一、删除 /plus/ad_js.php /plus/mytag_js.php 两个入口文件。注意删除了这两个文件js调用tag和广告就有问题,可以直接用标签调用。
第二、后台登录开启验证码功能,将默认管理员admin删除,改成一个自己专用的,复杂点的账号,管理员密码一定要长,至少8位,而且字母与数字混合。
第三、装好程序后务必删除install目录
第四、将dedecms后台管理默认目录名dede改掉。
第五、用不到的功能一概关闭,比如会员、评论等,如果没有必要通通在后台关闭。
第六、
以下一些是可以删除的目录:
member会员功能
special专题功能
company企业模块
plusguestbook留言板
以下是可以删除的文件:
管理目录下的这些文件是后台文件管理器,属于多余功能,而且最影响安全,许多HACK都是通过它来挂马的:
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有:
不需要SQL命令运行器,将 dede/sys_sql_query.php 文件删除。
不需要tag功能,请将根目录下的tag.php删除。
不需要顶客,请将根目录下的digg.php与diggindex.php删除。
第七、多关注dedecms官方发布的安全补丁,及时打上补丁。
第八、下载发布功能(管理目录下soft__xxx_xxx.php),不用的话可以删掉,这个也比较容易上传小马的.
第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.
第十、最安全的方式:本地发布html,然后再织梦搬家到空间。不包含任何动态内容,理论上最安全,不过维护相对来说比较麻烦。
十一,还是得经常检查自己的网站,被挂黑链是小事,被挂木马或删程序就很惨了,运气不好的话,排名也会跟着掉。所以还得记得时常备份数据.
迄今为止,我们发现的恶意脚本文件有
plus/ac.php
plus/config_s.php
plus/config_bak.php
plus/diy.php
plus/ii.php
plus/lndex.php
data/cache/t.php
data/cache/x.php
data/config.php
data/cache/config_user.php
data/config_func.php等等
大多数被上传的脚本集中在plus、data、data/cache三个目录下,请仔细检查三个目录下最近是否有被上传文件。
通过查看服务器访问log文件知道了黑客是post到这两个文件后生成php文件在服务器上,然后再操作你的服务器。把这两个文件删了,就解决了长期以来的被挂马问题!
服务器相关设置
除了上面一些办法还可以从服务器安装来解决,如,可以安装安全狗与卖咖啡来进行目录限制。
一个是限制不能写php文件,另一个是限制注意表不能修改,同时目录C盘不能随便放exe,dll之类的可执行文件。
这样就是有bug也无法向你主机写入可执行文件,同时图片文件上传目录不能执行php文件。最后也别忘记经常的网站备份。
发表评论(不用注册哟!)