欢迎来到酱油妹!织梦模板,dede模板下载,织梦cms模板,免费网站模板下载站

酱油妹

织梦CMS高危漏洞持续 安全联盟发布免费专杀

企业模板

据安全专家介绍,织梦CMS是一套基于PHP+MySQL的技术开发,支持多种服务器平台,从2004年发布开始,就以容易、健壮、灵活、开源几大特征占领了国内织梦CMS的大部份市场,现在已经有超越35万个站点正在采用织梦CMS或基于织梦CMS核心开发,商品装配量达到95万。是现在国内最容易见到的[标签:城市]网站建设程序之一,也是“黑客”密切关注的对象。安全联盟站长平台主要核心技术支撑SCANV网站安全中心团队成员曾多次发现、预警、并报告织梦CMS的安全漏洞。

就在2013年6月7日,SCANV网站安全中心曾发布“红色安全警报”(http://bbs.jiasule.com/thread-3848-1-1.html)预警织梦CMS存在“高危”的紧急安全漏洞,而这个漏洞就是本文前面提到多名站长求救的“罪魁祸首”。

这个漏洞细则及使用,最早是又一名为“imspider”的漏洞研究者在著名互联网安全社区t00ls论坛于6月7日曝光的。漏洞曝光后SCANV网站安全中心立紧急响应,发布“红色安全警报”、推出里临时解决方法并积极联系了织梦CMS官方,当天官方就发布了有关漏洞升级。但是因为织梦CMS用户量巨大、大量的站长安全意识不足没有准时装配更新的安全补丁,再加上很多的基于织梦CMS进行二次开发用户分析到兼容性问题而拒绝装配安全补丁。这些也就造成了这个漏洞得持久的害处,现在还有很多的网站用户受到这个漏洞的影响。

在另一方面,黑客也早早的盯上了这块“肥肉”般的漏洞,据国内著名CDN云安全服务提供商加速乐就漏洞曝光后剖析发现,这个漏洞早在6月7日被曝光前就有“黑客”使用该漏洞,最早日志纪录显示为2012年12月27日,只是当时使用方法的限制,而没有出现大规模黑站行为。而这个漏洞细则被公开后,出现了各种各样的智能化攻击的工具,这样的攻击变得愈加“容易”、 “迅速”、“直接”,攻击者配合各个搜素引擎批量入侵采用织梦CMS的网站,而使用方法愈加“暴力”,直接在网站上写入网站木马(如前文提到的“90sec.php”)。

至于之前站长反馈的“网站木马文件删除后,第二天又重新出现了”这个奇怪现象,则与这个漏洞的使用方法有关,攻击者可以通过这个漏洞直接控制数据库,篡改数据库里的数据内容,那样攻击者使用这个漏洞,把一段恶意PHP代码写入数据库的某个数据字段内,再使用织梦CMS对这个字段里的数据的处置时会实行插入到数据库里的恶意PHP代码,最后造成在目的网站上写入网站木马文件,完全控制这个网站。所以当站长在删除网站上的木马文件时,并没有删除数据库内的内容,所以当织梦CMS对这个被插入恶意代码的字段里的数据处置时,第三出现了被删除去的网站木马文件。也就是这个漏洞使用的特殊性,包括某网络互联网安全公司推出的“网站后门查杀”在内的各种网站木马扫描软件基本都不支持数据库里的恶意代码是扫描。

针对这一漏洞的特殊性及巨大的影响,安全联盟站长平台为织梦CMS的站长量身定制一个“织梦CMS漏洞后门专杀工具”,该工具仅需下载放置到织梦CMS根目录下运行后,可“一键扫描”查找漏洞、网站木马及数据库里的恶意代码并清除清洁。

操作过程示例:


(责任编辑:酱油妹)


希望以上内容可以解决您的问题!
如有其他问题欢迎大家一起交流学习!
作者:酱油妹 来源:互联网 关注: 时间:2020-09-01 02:34
版权声明:凡注明来源为www.jiangyoumei.com的均为本站原创,转载请注明来源。
本文网址:http://www.jiangyoumei.com/jiaocheng/anquan/2020/0901/9696.html
►凡本站提供教程均已验证教程的准确性。
►为提高用户在织梦后台添加栏目的灵活性(可随意添加/删除栏目),并保持(管理后台添加/删除栏目)与前端网站栏目的一致,本站模板中栏目均未固定,用户直接搜索typeid=''并替换''中的数字为所需栏目id即可。
►本站提供各种类型织梦模板!希望在这里找到喜欢的。下载本站模板,用户直接替换相关文字和图片即可。
►本站仅提供织梦模板即(DEDE模板),(除另外说明)均不带织梦安装程序及数据,用户直接覆盖默认模板即可。
►本站所有资源(包括源码、模板、插件等)仅供学习与参考,请勿用于商业用途。
►如有其他问题,请加网站客服QQ(375750496)进行交流。
相关织梦教程
在线客服

织梦模板 整站模板 新手教程 使用技巧