关于dedecms(织梦)

最近发现大量的dedecms (织梦) 系统 由于本身漏洞原因被黑客上传了恶意文件,并执行phpddos 程序对外部ip 发起攻击的现象.

已有好多主机商明确表示不允许dedecms 系统运行.

官方参考资料:http://bbs.dedecms.com/392584.html

http://bbs.dedecms.com/172474.html

经程序分析我们发现被攻击的站点基本上都是给plus目录下上传了phpddos 程序文件.结合dedecms 官方的资料,给出以下几点解决建议:

首先要删除服务器上的恶意程序.然后设置以下几个步骤

(1) data、templets、uploads、a或5.3的html目录, 设置可读写,不可执行的权限; (2) 不需要专题的,建议删除 special 目录, 需要可以在生成HTML后,删除 special/index.php 然后把这目录设置为可读写,不可执行的权限; (3) include、member、plus、后台管理目录 设置为可执行脚本,可读,但不可写入(安装了附加模块的,book、ask、company、group 目录同样如此设置)。 (4) 虽然对 install 目录已经进行了严格处理, 但为了安全起见,我们依然建议把它删除; (5)如果只是使用文章系统并没有使用会员功能,则强推推荐:关闭会员功能、关闭新会员注册、直接删除member目录或改名。 (6)用dedecms后台的“系统”中的文件校验和病毒扫描功能 查杀病毒木马。 (7)检查有无/data/cache/t.php 、/data/cache/x.php、/data/cache/postocart.php 、/plus/config_s.php和/plus/index.php ,plus/show.php,/data/cache/exehack.php,/plus/PD.php,/plus/gd.php,/plus/hero.php,/plus/posha.php,plus/postocars.php,plus/good.php,/plus/synconfig.php等不属于DEDECMS程序的木马文件,如果哪个php文件的文件名是大写的,就很可疑,发现是木马的话则应立即删除。 (8)最后建议您及时关注dedecms的最新补丁,如果官方出新补丁,则应立即更新。 我们的PHP程序大多运行于linux 服务器,所以以上所说权限设置均可在FTP中进行设置,在FTP中选中目标文件加或者文件单击鼠标右键 选择 属性,即可弹出 全县设置对话框,只要按照要求勾选即可.