DEDECMS去除所有自带后门和漏洞的方法(DEDE安装之后需要做的事)

文章转载自彭健的博客：原文地址：/index.php/archives/140--------------------------------------------------------------------------------------------------------------------去除首页顶部“织梦CMS - 轻松建站从此开始！”进入后台--模版--默认模版管理。

找到并打开头部文件head.htm，在代码中可以找到如下代码，修改中文即可。

<span id="time">织梦CMS - 轻松建站从此开始！</span>修改网站首页logo使用FTP根据路径：/templets/default/images从里面找到logo.gif图片替换成自己要的logo 即可修改首页logo图片。

鼠标放在logo上会出现提示文字“织梦CMS_V5.7演示站点”。

进入后台--系统--系统基本参数，修改网站名称。

去掉友情链接部分的版权进入后台--模块--友情链接。

分别把“DedeCMS维基手册”“织梦技术论坛”“织梦CMS官方”这三个友情链接删除。

进入后台-模版-默认模版管理。

找到index.htm文件，在最下面找到友情链接的调用代码如下：{dede:flinktype type="dedecms"}把代码的调用删除即可，效果如下：{dede:flinktype type=""}删除织梦链使用FTP根据路径：include/taglib/flinktype.lib.php打开文件，找到以下代码删除即可：$dedecms = false;$dedecms->id = 999;$dedecms->typename = '织梦链';if($type == 'dedecms') $row[] = $dedecms;删除首页所有广告进入后台--模块--广告管理。

教你如何打造一个安全的dedecms网站Dedecms是我们站长用得最多的建站系统，但是问题漏洞也多，曾经就有一个站把我给害苦了，当时刚入门SEO，备份什么的都还不懂，好不容易辛辛苦苦优化上来的网站，一夜之间就泡汤了，啥都没有了，你们肯定懂我的心情，之后就通过各种查资料，怎么来让织梦系统更安全，你只要做到以下几点，可以保证你的织梦网站不是很牛的人物是不能入侵的。

1、下载最新版的织梦系统无论是什么程序，最新版的都会是最好的，里面打了各种补丁漏洞，最新版的也修复了很多问题，文章排版、图片上传、插件等等。

2、修改程序及目录2.1、这是DedeCMS-V5.7-UTF8的程序目录，可以照我以下方法来设置：安装的时候最好把数据库的前缀名改了，不用dede_的前缀，随便改一个ljh_也行;安装完成，将admin这个改了，改成自己的专用号;安装完成了以后一定要记住把install这个文件夹删除，如果你只是单纯的静态网站，没有会员注册什么的功能，也可以把member 这个目录删除掉;不需要专题的，建议删除 special 目录;如果用不着后台的sqlSQL命令运行器的将dede/sys_sql_query.php 文件删除;不需要tag功能请将根目录下的tag.php删除。

2.2、目录删除完了以后，接着进行设置目录的权限：data、templets、uploads、a的目录，设置可读写，不可执行的权限;2.3、data目录路径更改在DedeCMS V5.7中用户也可以设定data目录到上一级非web访问目录，基本操作如下：2.3.1、把data目录移动到上级目录，直接剪切过去就行了，然后配置include/common.inc.php中DEDEDATA文件：找到这16行：define('DEDEDATA', DEDEROOT.'/data');替换成：define('DEDEDATA',DEDEROOT.'/../../data');2.3.2、后台设置模板缓存路径：登录到后台，找到：系统-》系统基本参数-》性能选项，修改模板缓存目录：到这里便设置好了data目录。

解决织梦dedecms后台打开空白的方法今天在给客户安装一套dedecms模板的时候出现了安装成功之后去进入后台一片空白，不管怎么改都是这样，我是使用dedecms V5.7utf-8制作的织梦模板，最后发现使用/dede/login.php这样可以进去后台，但我们一般都是/dede/index.php进入的呀！就觉得奇怪！然后在互联网找了很多方法不行，也没找到什么好的方法解决这个问题。

后来我想起PHP 代码很忌讳用记事本修改的，你是不是也用记事本修改了数据库密码呢？问题就出在这里，用记事本修改了数据库密码进后台就会出面空白页面的。

用记事本和Dreamweaver 修改表面是看不出什么不一样（看下图）。

其实不然！！！解决方法也很简单：你只要把dedecms 程序初始安装的data/common.inc.php 用Dreamweaver 打开把里面主机名称和数据库账号密码改成空间的一样就可以了（记住不要用记事本修改）！记事本Dreamweaver如果以上方法不行的话可以使用清除BOM小工具来实现：2dedecms.php代码：<?php//此文件用于快速测试UTF8编码的文件是不是加了BOM，并可自动移除$basedir="."; //修改此行为需要检测的目录，点表示当前目录$auto=1; //是否自动移除发现的BOM信息。

1为是，0为否。

//以下不用改动if ($dh = opendir($basedir)) {while (($file = readdir($dh)) !== false) {if ($file!='.' && $file!='..' && !is_dir($basedir."/".$file)) echo "filename: $file ".checkBOM("$basedir/$file")." <br>";}closedir($dh);}function checkBOM ($filename) {global $auto;$contents=file_get_contents($filename);$charset[1]=substr($contents, 0, 1);$charset[2]=substr($contents, 1, 1);$charset[3]=substr($contents, 2, 1);if (ord($charset[1])==239 && ord($charset[2])==187 && ord($charset[3])==191) { if ($auto==1) {$rest=substr($contents, 3);rewrite ($filename, $rest);return ("<font color=red>BOM found, automatically removed.</font>");} else {return ("<font color=red>BOM found.</font>");}}else return ("BOM Not Found.");}function rewrite ($filename, $data) {$filenum=fopen($filename,"w");flock($filenum,LOCK_EX);fwrite($filenum,$data);fclose($filenum);}//结束?>创建一个2dedecms.php文件复制以上代码在里面然后上传到网站根目录运行/2dedecms.php即可。

怎么提高织梦dede程序的安全性很多人都认为织梦dede的程序容易被黑，安全性不高，其实这完全是一种错误的认知，因为普及范围广，很多人仿站，套模板都是用的dede，所以被侵入的也很多了，实际上单纯从比例上来说，相比其他程序，只要注意提高dede的安全性，进行相关的安全设置，完全不用担心被那些小黑客入侵等！想必很多人用织梦（DEDE）经常会遇到网站挂马这些问题下面我就简单讲解下针对DEDE网站的安全设置，只要你按照以下三点：操作可避免99% 网站被挂马的情况一精简设置篇：不需要的功能统统删除。

比如不需要会员就将member文件夹删除。

删除多余组件是避免被hack注射的最佳办法。

将每个目录添加空的index.html，防止目录被访问。

织梦可删除目录列表：member会员功能special专题功能install安装程序(必删) company企业模块 plus\guestbook留言板以及其他模块一般用不上的都可以不安装或删除。

怎么提高织梦dede程序的安全性二密码设置篇：管理员密码一定要长，而且字母与数字混合，尽量不要用admin，初次安装完成后将admin删除，新建个管理员名字不要太简单。

织梦系统数据库存储的密码是MD5的，一般HACK就算通过注入拿到了MD5的密码，如果你的密码够严谨，对方也逆转不过来。

也是无奈。

但现在的MD5破解网站太过先进，4T的硬盘全是MD5密码，即便你的密码很复杂有时候都能被蒙上。

我之前的站点就是这么被黑的。

所以一定密码够复杂。

三 dede可删除文件列表：DEDE管理目录下的file_manage_control.phpfile_manage_main.phpfile_manage_view.phpmedia_add.phpmedia_edit.phpmedia_main.php这些文件是后台文件管理器(这俩个功能最多余，也最影响安全，许多HACK都是通过它来挂马的。

它简直就是小型挂马器，上传编辑木马忒方便了。

首先我们要认识一下什么是后门程序？在网络上常见的对“后门”的解释，其实我们可以用很简单的一句话来概括它：后门就是留在计算机系统中，供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然，掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡，让它永远飞不出你的五指山!正因如此所以后门技术与反后门的检测技术也成为了黑客攻防战的焦点。

正所谓知己知彼，百战不殆。

要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。

后门的分类后门可以按照很多方式来分类，标准不同自然分类就不同，为了便于大家理解，我们从技术方面来考虑后门程序的分类方法：前面讲了这么多理论知识是不是觉得有点头大了呢？下面我们来讲讲一些常见的后门工具吧1.网页后门此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式，比如现在非常流行的ASP、cgi脚本后门等。

典型后门程序：海洋顶端，红粉佳人个人版，后来衍生出来很多版本的这类网页后门，编写语言asp,aspx,jsp,php的都有种类比较繁多。

2.线程插入后门利用系统自身的某个服务或者线程，将后门程序插入到其中，这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。

典型后门程序：代表BITS，还有我在安全焦点上看到的xdoor（首款进程插入后门）也属于进程插入类后门。

3.扩展后门所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。

典型后门程序：Wineggdroup shell4.C/S后门这个后门利用ICMP通道进行通信，所以不开任何端口，只是利用系统本身的ICMP包进行控制安装成系统服务后，开机自动运行，可以穿透很多防火墙——很明显可以看出它的最大特点：不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比，它的控制方式是很特殊的，连80端口都不用开放，不得不佩服务程序编制都在这方面独特的思维角度和眼光.典型后门程序：ICMP Door5.root kit好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。

织梦cms（dede）标签使用及问题解决方法总结longyamiao 以前使用过织梦cms（dede）进行网站建设，最近又一次做网站，在制作过程中遇到一些问题，现将标签使用解决方法总结一下。

一、dede 我的文档及收藏方面处理方法——longyamiao问题一：我的文档里有已通过、待审核、未通过三种情况。

而在点击时不是以滑动门的方式显示，而是重新加载网页。

无法达到更改已通过、待审核、未通过三处样式的目的。

问题二：当点击我的文档打开网页时，网页显示的是我所有文档，当点击已通过时，网页显示的是我的已通过审核的文档，当点击下一页查看时发现未通过的文章显示出来了。

解决：（一）点击时每次重新加载，解决方法是，一个模板复制三次，分别命名。

在模板里改变点击已通过待审核未通过的地址。

PHP 和HTM 模板分别是Default/member/myupload.phpDefault/member/templets/myupload.htm 更改PHP里打开模板的链接更改HTM模板里打开PHP的链接。

（二）在myupload.php里用$arcrank表示已通过待审核未通过分别值为1 －1 －2。

点击下一页出现故障的原因是，在分页时，分页链接查询数据库没有加入arcrank参数的限制条件。

分页样式及代码在Default/include/datalistcp.class.php中分布链接地址为$purl .= "?".$geturl; 在这里如果直接添加arcrank 变成$purl .= "?arcrank=1&".$geturl; 在已通过页面里能看到是正常的，但由于是常量，不能变化，在待审核和未通过里则显示错误，同时在我的收藏里也显示错误。

所以没有考虑像第一步那样复制成多份模板，而是想办法传递参数。

可我看代码myupload.php 没有给datalistcp.class.php传递参数。

防范dedecms广告内容插入后门方法介绍方法步骤dedecms广告内容没有做限制,可以输入脚本信息，并写入文件，导致木马植入!此补丁，是防止广告里带PHP脚本并写入文件!核心代码：ad_js.php复制代码代码如下://禁止写入和PHP脚本有关字符信息//============================================= =============================if((strripos($adbody,=0)||(strripos($adbody,{dede:php})=0)||(strrip os($adbody,php)=0)){die(document.write(禁止生成广告,可能存在风险!););}//============================================= =============================mytag_js.php复制代码代码如下://禁止写入和PHP脚本有关字符信息//============================================= =============================if ((strripos($myvalues,=0)||(strripos($myvalues,php)=0)){die(document.write(禁止生成广告,可能存在风险!););}//============================================= =============================使用方法:把ad_js.phpmytag_js.php2个文件解压到plug目录中覆盖原文件就可以了!建议覆盖后，再下载D盾_Web查杀进行一次全部的查杀，防止以前留下的后门!查杀时请选择查杀全部文件，因为这些后门是.htm 或.inc 等扩展方式隐藏着!补充：校园网安全维护技巧校园网络分为内网和外网，就是说他们可以上学校的内网也可以同时上互联网，大学的学生平时要玩游戏购物，学校本身有自己的服务器需要维护;在大环境下，首先在校园网之间及其互联网接入处，需要设置防火墙设备，防止外部攻击，并且要经常更新抵御外来攻击;由于要保护校园网所有用户的安全，我们要安全加固，除了防火墙还要增加如ips，ids等防病毒入侵检测设备对外部数据进行分析检测，确保校园网的安全;外面做好防护措施，内部同样要做好防护措施，因为有的学生电脑可能带回家或者在外面感染，所以内部核心交换机上要设置vlan隔离，旁挂安全设备对端口进行检测防护;内网可能有ddos攻击或者arp病毒等传播，所以我们要对服务器或者电脑安装杀毒软件，特别是学校服务器系统等，安全正版安全软件，保护重要电脑的安全;对服务器本身我们要安全server版系统，经常修复漏洞及更新安全软件，普通电脑一般都是拨号上网，如果有异常上层设备监测一般不影响其他电脑。

教你快速地清除电脑系统中各种各样木马病毒-电脑资料入侵后要做的事就是上传木马后门，为了能够让上传的木马不被发现，他们会想尽种种方法对其进行伪装，。

而作为被害者，我们又该如何识破伪装，将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中，一直是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。

程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必须清除其中的木马。

我们可以利用木马专杀工具进行查杀。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉，电脑资料《教你快速地清除电脑系统中各种各样木马病毒》(https://www.)。

因此清除的步骤也相对复杂一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成具体的项目，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马。

2.查找可疑DLL模块由于一般用户对DLL文件的调用情况并不熟悉，因此很难判断出哪个DLL模块是不是可疑的。

可以利用专门的工具进行查找。

三、彻底的Rootkit检测谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查，看是否隐藏木马。

这时候可以使用一些特殊的工具进行检测。

四、克隆帐号的检测严格意义上来说，它已经不是后门木马了。

但是他同样是在系统中建立了管理员权限的账号，但是我们查看的却是Guest组的成员，非常容易麻痹管理员。

dedecms最新注入漏洞漏洞预警-电脑资料dedecms5.3和5.5系列版本存在重大注入漏洞,作者:张恒假设域名是:攻击步骤如下:1.访问网址:int(3) Error: Illegal double ’1024e1024’ value found durin g parsingError sql: Select goodpost,badpost,scores From `gxeduw_arc hives` where id=1024e1024 limit 0,1; */ ?>3.执行压缩包里的文件test.html,注意form中action 的地址是:<form action="http: method="post" bdsfid="70" data="" mysql_error_trace.php" enctype="application/x-www-form-urlencoded" =""></form action="http:> 按确定后的看到第2步骤的信息表示文件木马上传成功.密码:2006888漏洞分析:利用了MySQL字段数值溢出引发错误和DEDECMS用PHP记录数据库错误信息并且文件头部没有验证的漏洞.解决方案:打开文件include/dedesql.class.php找到代码@fwrite($fp, ’<’’.’?php’."/*{$savemsg}*/?".">");替换代码@fwrite($fp, ’<’.’?php’."exit;/*{$savemsg}*/?".">");清空 data/mysql_error_trace.php 文件内容。