帮助中心 >
dede被入侵

 大家好,我是八度的服务器维护工程师,由于近期服务器出现很多发包导致服务器中断,满流量,卡机宕机等不同情况,经我司工程师检查均因dede漏洞大量站点被挂马发动UDP攻击导致,由于很多站长对php程序及安全防护并不了解,因此我们给大家做了一个图文教程希望可以帮助大家解决这些问题

一,删除木马文件
1,先删除一句话木马及攻击文件.由于dede漏洞及后台的不安全性,被植入一句话木马,然后通过一句话木马上传攻击文件,发布攻击命令,一句话木马特征码为<?php eval($_POST[    ]);?>主要作用是提权,或者您的网站ftp权限甚至最高权限,一般放在网站的include,plus,data,temlets,upload,special,image,install还有网站根目录
如:
文件命名多为简单的文件名如1.php,123.php或者名字很特殊的文件名dhuw.php,dw1d.php近期文件名多为90sec.php如检查可以按照最近修改时间的办法可以更快的查到.

2,找出罪魁祸首 攻击文件,此文件主要作用是发动UDP攻击命令,主要存放目录为一般放在网站的include,plus,data,temlets,upload,special,image,install还有网站根目录文件名多为<?php eval($_POST[Chr(90)]);
set_time_limit(86400);
ignore_user_abort(True);
$packets = 0;
如图:


3,还有后门文件


 

二,做好dede安全
1,升级dede最高版本,下载安全补丁,下载地址为http://www.dedecms.com/products/dedecms/downloads


2,做好目录权限
1、以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;


2、以下目录:include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改;(包括默认管理员用户)


3、如果不需要使用会员、专题,可以直接删除member、special目录
4、删除install安装目录,根目录下面的index.php tags.php这两个文件设置成只读

5、管理员帐号密码尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限;
6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限;
 

三,定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复。
文件校验

病毒扫描

系统错误修复

 

四,指派服务器策略安装防护软件 如安全狗,智创文件监控系统
1.打开控制面板,找到本地安全策略

2.双击打开本地安全策略,IP安全策略,在本地计算机

4.最后将策略指派上即可

服务器策略下载地址为
http://help.ebadu.com/download/Ebadu.VPS.Server-DEDESafe.rar
5,安装安全狗
下载地址
http://www.safedog.cn/download/software/safedogwzIIS.exe
智创文件监控
http://www.zcnt.com/wzxFileScan_V160_Setup.rar