這篇文章主要為大家介紹了dedecms針對DDOS掛馬漏洞的解決方法,需要的朋友可以參考下。

Dedecms是國內(nèi)著名的php開源系統(tǒng)，也是很多站長建站的首選CMS系統(tǒng)，簡單易用是其廣泛實用的一大原因，而正是因為dedecms的開源，也導致了很多黑客盯上了這個程序，于是接連研究出了很多dedecms的漏洞，造成了目前有相當多的dedecms網(wǎng)站都被掛馬了，有的被機房警告，嚴重的機房被強行關(guān)站，損失巨大。今天就這一問題做較為深入的剖析，找出解決之道。

被掛馬的特征：打開自己的網(wǎng)站首頁，用查看源代碼的方式會發(fā)現(xiàn)自己的網(wǎng)站被增加了許許多多的黑鏈代碼，黑鏈代碼是最簡單也最能讓站長們看出來的，他無非就是友情鏈接的代碼。

再一個特征就是打開網(wǎng)站會被360安全提示網(wǎng)站存在掛馬風險，這一類型的掛馬代碼，一般是框架代碼或者是js代碼或者是圖片代碼，還有個特征就是網(wǎng)站 會突然打不開或者打開慢，檢查流量會發(fā)現(xiàn)自己占用了許多流量，也就是說流量往外發(fā)包的特征，也叫UDP 流量發(fā)包攻擊。以上就是dedecms被掛馬的大體特征，下面就講點實際的，網(wǎng)站被掛馬的解決辦法和預(yù)防措施。

首先把網(wǎng)站程序的代碼下載到自己的本地，用sinesafe木馬清除工具檢測了一下，發(fā)現(xiàn)data/cache/目錄下有許多腳本木馬，打開木馬腳本發(fā)現(xiàn)了一些不認識的PHP代碼，把代碼放到sinesafe木馬工具里深度剖析了一下發(fā)現(xiàn)了木馬特征，代碼如下：

代碼如下:

<?php

set_time_limit(984918);

$host = $_GET['host'];

$port = $_GET['port'];

$exec_time = $_GET['time'];

$Sendlen = 65535;

$packets = 0;

}

echo "================================================

";

echo " <font color=blue>www.phpddos.com

";

echo " SYN Flood 模塊

";

echo " 作者：ybhacker

";

echo " 警告：本程序帶有攻擊性,僅供安全研究與教學之用,風險自負!</font>

";

echo "================================================

";

echo " 攻擊包總數(shù)：<font color=Red><span class=\"text\">".$packets." 個數(shù)據(jù)包</span>

</font>";

echo " 攻擊總流量：<font color=Red><span class=\"text\">".round(($packets*65*8)/(1024*1024),2)." Mbps</span>

</font>";

echo " 攻擊總字節(jié)：<font color=Red><span class=\"text\">".time('h:i:s')." 字節(jié)</span>

</font>";

echo "Packet complete at ".time('h:i:s')." with $packets (" .round(($packets*65*8)/(1024*1024),2). " Mbps) packets averaging ". round($packets/$exec_time, 2) . " packets/s \n";

?>

我在網(wǎng)上查到這是udp流量攻擊的php腳本木馬，這個木馬就是可以以網(wǎng)站腳本的權(quán)限運行就可以達到ddos 流量攻擊的效果。無需服務(wù)器的權(quán)限，這我才明白過來為什么機房說我網(wǎng)站一直都在往外發(fā)包，運行這個腳本的網(wǎng)站都會打開緩慢，我的網(wǎng)站也在其中。既然找到了 問題所在，就要迅速解決，點擊清除木馬代碼，一下全都給清除了。Data/cache/目錄下已經(jīng)沒有陌生的文件名了。最后為了根治這一“頑疾”，總結(jié)出一下幾個解決和預(yù)防措施：

1.dedecms目錄的安全設(shè)置：data/cache/ templets uploads 目錄設(shè)置可讀寫，不可執(zhí)行權(quán)限。include、member、plus設(shè)置可讀 可執(zhí)行 不可寫權(quán)限，由于dedecms并沒有任何地方使用存儲的過程，因此可以禁用 FILE、EXECUTE 等執(zhí)行存儲過程或文件操作的權(quán)限。

2.網(wǎng)站程序安全：這也是最根本的防范，如果是虛擬空間建議找專業(yè)做網(wǎng)站安全維護的來給做網(wǎng)站程序的安全，只有網(wǎng)站安全了才能帶來安全穩(wěn)定的客戶源。

3.程序的更新： 打開dedecms后臺看看有沒有更新的補丁，如果有請及時的更新和打補丁，如果自己的版本很老了，我建議重新安裝新的版本，因為新的版本都是比較安全的，有很多地方和老版本的不一樣。

4.后臺管理目錄：dedecms后臺管理目錄一般默認是dedecms，很多站長從來不在乎這個后臺地址，我很負責任的告訴大家，管理的目錄地址如果是默認的那你被掛馬的幾率那就是%100.建議把目錄的名字改成一些數(shù)字加字母符號組合的名字。

5.FTP 網(wǎng)站管理密碼： FTP密碼和網(wǎng)站管理密碼建議經(jīng)常修改，因為很多黑客都在用暴力破解密碼，把密碼改的復(fù)雜些盡量摻雜著特殊符合和字母。

更多信息請查看IT技術(shù)專欄