關(guān)鍵字描述：朋友 站長(zhǎng) 經(jīng)常 網(wǎng)站 黑客 這個(gè) 可以 大家 上傳 增加 獻(xiàn)給經(jīng)常被掛馬的站長(zhǎng)朋友，要防止掛馬每步都要小心 如題： 我經(jīng)?？吹接械呐笥颜f(shuō)“DEDECMS程序有安全問(wèn)題，我的網(wǎng)站又被掛馬了” 我卻覺(jué)得DedeCms的應(yīng)該沒(méi)有問(wèn)題，根據(jù)查看dede的用戶(hù)表單

關(guān)鍵字描述：朋友 站長(zhǎng) 經(jīng)常 網(wǎng)站 黑客 這個(gè) 可以 大家 上傳 增加

獻(xiàn)給經(jīng)常被掛馬的站長(zhǎng)朋友，要防止掛馬每步都要小心

如題：

我經(jīng)?？吹接械呐笥颜f(shuō)“DEDECMS程序有安全問(wèn)題，我的網(wǎng)站又被掛馬了”

我卻覺(jué)得DedeCms的應(yīng)該沒(méi)有問(wèn)題，根據(jù)查看dede的用戶(hù)表單的源碼，都是有過(guò)濾的

用dedecms的用戶(hù)那么多，如果真的有安全漏洞，我怕用的不會(huì)只是幾個(gè)朋友而已。

下面是黑客常用的SQL注入手段和大家要注意的東西

1..用工具,用黑客的工具去檢查你網(wǎng)站的漏洞~當(dāng)然不要濫用~用些注入SQL的黑客軟件檢查下你網(wǎng)站就可以了（如啊D注入器等等，我都使用過(guò)，沒(méi)有發(fā)現(xiàn)Dede有漏洞有可以?huà)齑a的地方，不信你也可以去測(cè)試，當(dāng)然我不知道不代表沒(méi)有，但是你也應(yīng)該知道，使用dede的朋友有多少，如果真的出現(xiàn)很容易被抓的漏洞，要被掛的網(wǎng)站數(shù)量恐怕會(huì)很恐怖）

2.后臺(tái)地址一定要改，不要用DEDE這個(gè)文件夾做你的后臺(tái)，有些朋友竟然不知道Dede這個(gè)后臺(tái)文件夾可以改名?。?/P>

3.后臺(tái)最好加上驗(yàn)證碼，雖然麻煩了點(diǎn)，但是可以避免不少的小黑客用社會(huì)工程學(xué)來(lái)破解你的網(wǎng)站（我就試過(guò)，很多朋友的密碼常常是手機(jī)號(hào)，域名，qq等等）

4.如果給自己的網(wǎng)站增加了字段（比如要求用戶(hù)申請(qǐng)時(shí)輸入生日等等）要過(guò)濾，別自己的問(wèn)題推到了DEDE的頭上。（建議有一定PHP技術(shù)的朋友去修改，為達(dá)到功能不是簡(jiǎn)單的在前臺(tái)增加表單后臺(tái)增加發(fā)布表單然后增加數(shù)據(jù)庫(kù)字段這么簡(jiǎn)單，要防止XSS攻擊就要注意增加htmlspecialchars，mysql_escape_string()）

5.還有不少的朋友在自己的空間上為了增加功能還使用了一些小程序（那些程序我也用過(guò)忘記刪除了，結(jié)果被掛碼）比如：相冊(cè)、報(bào)名之類(lèi)的程序，這些程序的作者都是些不出名的，他們的程序基本上會(huì)有一定的風(fēng)險(xiǎn)，有的黑客就可以利用這點(diǎn)，上傳blackeyes小馬（就是木馬），得到你的虛擬空間的使用權(quán)，然后就是用工具批量掛馬。

6.別忽視了IDC服務(wù)器商的風(fēng)險(xiǎn)哦，我告訴你~對(duì)于黑客來(lái)說(shuō)~為了掛你的站，常常不是使用對(duì)點(diǎn)方式的破解，而選擇旁注入的方法，他們的方法就是破解與你同一個(gè)服務(wù)器上的其他網(wǎng)站，不要不信，別人要知道你網(wǎng)站的鄰居有哪些輕松的很（進(jìn)這個(gè)網(wǎng)站自己查查看同一ip下的所有網(wǎng)站，輸入你的ip地址就可以了http://www.jb51.net），破解你同一服務(wù)器上的其他用戶(hù)，讓你掛馬也是很輕松的了（我用這個(gè)方法就掛過(guò)別人的網(wǎng)站）。對(duì)于一些好的服務(wù)器尚對(duì)于這個(gè)限制的厲害，就不會(huì)出現(xiàn)這個(gè)問(wèn)題。

7.還有就是你開(kāi)啟的用戶(hù)上傳這一欄最好嚴(yán)格控制一下，這個(gè)也比較關(guān)鍵，如果黑客不是破解你后臺(tái)的話(huà)，掛你馬也就難多了，因?yàn)樗麄冃枰蟼饕粋€(gè)掛馬工具上來(lái)，如果你已經(jīng)被掛馬了，切記要檢查下你的網(wǎng)站是不是允許上傳html.php.asp等文件了。

8.時(shí)刻關(guān)注Dede官方發(fā)布的安全補(bǔ)丁，上次出的幾個(gè)安全補(bǔ)丁我都研究過(guò)了，有些漏洞都是因?yàn)殡p重原因才可能被別人利用（Dede竟然也重視了，可見(jiàn)DEDE還是關(guān)注安全問(wèn)題的，我記得那個(gè)會(huì)員補(bǔ)丁好象是1月發(fā)布的，2月有些黑客網(wǎng)站發(fā)布了針對(duì)沒(méi)有打這個(gè)補(bǔ)丁的網(wǎng)站進(jìn)入掛馬的文章，竟然還有一些朋友中了~我很無(wú)語(yǔ)，希望大家隨時(shí)關(guān)注官方的安全補(bǔ)?。?/P>

9.有些朋友經(jīng)常把中了馬之后的文件上傳到這個(gè)論壇然后希望大家一起研究，我想說(shuō)“那個(gè)東西上傳了也不能得到防止的方法，因?yàn)槟莻€(gè)JS或者iframe并不是關(guān)鍵，你上傳了大家只能去破解下加密文件的木馬而已?！眲e人留下的東西只是目的而不是工具。

10.不可抗拒的自然因素，比如一個(gè)超級(jí)頂級(jí)黑客要掛你的網(wǎng)站，我怕很多沒(méi)有毛病的東西都會(huì)有毛病了，相信我一句話(huà)，掛馬的黑客都是一些菜鳥(niǎo)黑客和工具黑客，做好以上，那些黑客就不知道怎么做了。