AMH开源社区

AMH社区 - 开放自由有价值的社区

[分享帖] amh的新手推荐安全设置 (dedecms篇)

向阳
铁牌会员
131.43 价值分

71 次阅读   6 张回复   向阳 发表于 2018-12-02 10:55:20
很多朋友喜欢用织梦也就是dedecms
然后呢,dedecms简直是扫描挂马人士的最爱.

之前做过dedecms所以把dedecms预防挂马的安全设置教程写一下:

(1). 首先是目录权限
设置不可执行权限:
chmod -R 555 data 代表可读,可运行,不可修改.
data、templets . plus 目录, 设置可读写,不可执行的权限;
data目录要555锁死,不能被修改
plus是网站插件目录.挂马的太多.
自己要修改的时候,用ftp修改权限为755了,改好了.
再修改权限为555
切记.

(2).让关键目录下的php文件无法访问
uploads就是dedecms上传的图片等文件后的存放目录.
很多人是通过漏洞上传一个jpg图片的伪装,然后通过访问改名,实现挂马.
让uploads这个目录无法运行php文件.
jpg等正常图片则放行.
这一步要通过伪静态实现.
nginx的规则为:
location ~* ^/(uploads|templets)/.*\.(php|php5)$
{
deny all;
}
在你伪静态那个规则里面加上这段就行了
你也可以按照自己的需求把plus也加上.
apache 下的规则为(在你伪静态那个规则里面加上这段就行了)
<Directory /home/centos/web/data>
php_flag engine of
</Directory>
<Directory ~ "^/home/centos/web/data">
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
</Directory>

(3). 这招比较狠,除非你这台服务器只有dedecms.
要不然别用.
因为很多人挂马dedecms是对外发包.攻击别的服务器.
那就把服务器对外发包功能关了.
就是把相关函数禁用了.
fsockopen
我一般dedecms的服务器是禁用一堆函数. (仅供参考)
passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsockopen,set_time_limit


(4).购买阿里云的安骑士或者云锁免费版.
安骑士有点类似于服务器杀毒软件 300一年.
就是你服务器被人传了木马他会自动给你咔嚓掉.
你的程序有漏洞他会有补丁,你点击修复他就更新了.

云锁也类似服务器杀毒软件.

(5). dedecms的menber目录就是dedecms的会员模块.
要用的话切记权限锁死为555 chmod -R 555 member
不用会员功能的话把这个,member目录给删除咯.

好了.
坛子里面有用dedecms有遇到其他安全问题的,可以留言问我.
应该以上5招可以解决掉99%的dedecms安全问题.
我这几天把wordpress的安全相关也写个教程.
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
2018-12-02 10:55:20 1

向阳
铁牌会员
131.43 价值分

云锁的免费版个人站长用就可以了.
http://bbs.yunsuo.com.cn

或者悬镜
http://www.xmirror.cn/

推荐云锁,因为论坛活跃一些,用户群广,遇到问题也好解决.
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2018-12-02 10:57:19 2

向阳
铁牌会员
131.43 价值分

纯手打,顶一个呗.
同学们
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2018-12-02 11:48:47 3

西藏六哥
铁牌会员
86.90 价值分

挺好挺好这篇文章,现在dede都不更新了漏洞太多了,自己使用的时候就开权限,弄完之后我都是全站只可读,插件我也不用,之前都被搞怕了
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2018-12-02 12:47:54 4

向阳
铁牌会员
131.43 价值分

引用:
西藏六哥 发表于 2018-12-02 12:47:54
挺好挺好这篇文章,现在dede都不更新了漏洞太多了,自己使用的时候就开权限,弄完之后我都是全站只可读,插件我也不用,之前都被搞怕了

^_^
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2018-12-02 13:33:19 5

lpd15867
银牌会员
1268.62 价值分

方法跟我差不多,生成html再直接把php停止运行,只给跑html,哈哈
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2018-12-02 14:02:54 6

向阳
铁牌会员
131.43 价值分

感觉dedecms的网站排名效果不好.
好像baidu会默认判定这个网站漏洞多还是怎样.

反正目前觉得 ssl+wordpress是最佳选择
评价: 这篇分享有价值吗?  没有 (0分)   有, 感谢 (0分)
回复  2018-12-08 09:52:39 7
 1  (总1页)
AMH社区列表
旅客不可参与帖子, 请您先登录
用户服务中心