尊敬用户:
您好!
因织梦(dedecms)安全性太差,很多使用该系统的网站被黑客入侵后上传木马病毒,然后利用木马病毒程序对外发送DDOS攻击或被黑客偷偷放置传奇私服等违法内容带来大量的攻击影响其他用户的稳定。
为了减少dedecms带来的不利影响,公司研究决定从即日起对所有虚拟主机进行以下审计规则:
对于使用了dedecms系统的网站,系统每天凌晨会自动进行安全扫描,发现病毒木马时将整个网站设置为“只读”状态。系统会自动发邮件通知并在虚拟主机控制面板中进行相关提醒。
设置为只读后,黑客将不能继续上传病毒木马搞破坏,同时网站主办者如果要更新网站也会受到一定影响(比如不能发文章或创建新的栏目、不能上传图片等),但网站的正常浏览不受影响。 如果更新时,请按下文介绍的流程,把指定的目录单独设置为可写权限并对该目录添加“目录保护”。
系统对每个织梦网站设置只读权限只会操作一次,如果用户通过控制面板自行修改为“完全控制”权限后,系统不会再次只读。
建议网站主办者按以下流程加强织梦系统的安全:
1.升级到dedecms最新版本 (dedecms后台一般支持在线升级,如果不行,请到官方网站查询手工升级办法www.dedecms.com)
2.控制面板中点“文件管理”》权限设置,把整站所有文件设置为只读。 老版本可能登录后台,会提示验证码错误,这种需要 单独对data目录设置为完全控制(可读可写)权限。 如果有的目录需要生成静态html,则单独对需要生成静态文件和上传图片附件的目录 设置为可写权限。 对于 单独设置为可写的目录,请用控制面板中的“目录保护”功能,把这些目录进行保护(以禁止脚本执行,防止黑客上传木马)
3.添加SQL注入防护脚本(如果使用我司预装360安全版本可跳过这步)
详见:
升级到dedecms最新版本
dedecms后台一般支持在线升级,如果不行,请到官方网站查询手工升级办法www.dedecms.com
权限设置:
主机控制面板中点击 “文件管理” 选中wwwroot目录 在点击 “权限” 按钮,将整站所有文件设置为只读。 老版本可能登录后台会提示验证码错误,进入wwwroot目录,选中data目录,然后点击“权限”单独将data设置为完全控制(可读可写)权限。生成文档的目录也可单独设置完全控制权限,或者在需要更新文档时再将wwwroot目录设置为完全控制。注意:更新完文档要再次设置为只读。
目录保护:
为防止木马被上传执行,请点击控制面板中的“目录保护”功能,依次选择templates、uploads、data这三个目录添加保护(以禁止脚本执行,防止黑客上传木马)
添加SQL注入防护脚本:
参考:http://faq.myhostadmin.net/faq/listagent.asp?unid=645 如果使用我司预装360安全版本可跳过这步。
对于已经被入侵的网站,请按以下教程操作:
①.下载专杀工具进行扫描查杀:
http://faq.myhostadmin.net/faq/listagent.asp?unid=673 然后重新生成文件。
②.人工分析判断异常文件,若被黑严重建议备份好当前数据库和重要文件,然后清空重新上传安装并恢复数据库。
相关文件: 浅谈虚拟主机网站安全设置
将网站权限设置为完全控制(可读可写):
http://www.west263.com/faq/list.asp?unid=286
若有不清楚的地方,请提交有问必答,感谢您的支持!