商业源码 用DEDECMS搭建网站的安全篇:默认模板路径漏洞
include是DEDECMS的系统文件夹,里面放的是DEDECMS系统下的一些系统功能函数文件和功能定义与说明以及参数的文件。\x0d\include目录文件作用解析\x0d\arcarchivesclass 主文档类(Archives类)\x0d\arccaicaiclass 踩踩文档类\x0d\arcfreelistclass 自由列表类\x0d\arclistviewclass 文档列表类\x0d\arcmemberlistviewclass 会员列表视图类\x0d\arcpartviewclass 视图类\x0d\arcrssviewclass RSS视图类\x0d\arcsearchviewclass 搜索视图类\x0d\arcsglistviewclass 单表模型列表视图类\x0d\arcsgpageclass 单表模型视图类\x0d\arcspecviewclass 专题视图类\x0d\arctaglistclass Tag列表类\x0d\channelunitclass 频道模型单元类\x0d\commonfunc 系统核心函数存放文件\x0d\commoninc 系统变量定义文件\x0d\datalistcpclass 动态分页类\x0d\typelinkclass 栏目连接\x0d\userloginclass 管理员登陆类\x0d\vdimgck 验证码\x0d\typeunitclassadmin 栏目单元,主要用户管理后台管理处\x0d\typeunitclassmenu 栏目单元,主要用户管理后台管理菜单处\x0d\typeunitclassselector 栏目单元,选择框\x0d\uploadsafeinc 防止用户通过注入,强制限定的某些文件类型禁止上传\x0d\dedeattclass 属性的数据描述\x0d\dedecollectionclass Dede采集类\x0d\dedecollectionfunc 采集小助手\x0d\dedehtml2class 织梦HTML解析类V16 PHP版,针对于采集程序,主要是获取某区域内的、超链接等信息\x0d\dedehttpdownclass 织梦HTTP下载类\x0d\dedemoduleclass 织梦模块类\x0d\dedesqlclass 数据库类,系统底层数据库核心类\x0d\dedesqliclass 数据库类\x0d\dedetagclass Dede织梦模板类\x0d\dedetemplateclass 模板引擎文件\x0d\dedevoteclass 投票类\x0d\diyformcls 自定义表单解析类
第一步:在织梦后台左栏点击“系统”;
第二步:选择“系统”菜单下的“SQL命令行工具”;
第三步:输入如下代码:
insert into `dede_arcatt`(sortid,att,attname) values(9,'d','评论');
alter table `dede_archives` modify `flag` set ('c','h','p','f','s','j','a','b','d') default NULL;
第四步:点击“确定”。
需要说明的是:
代码第1行:values(9,'d','评论') 是根据我们需要自行定义的,其中9是sortid的值,是不可重复的,也就是每添加一个自定义属性,sortid的值就应该递增到10,11,12,以此类推!d是alt的值,是自定义属性的标记,与已存在的标记符号不能重复,“评论”是中文名称,是方便人们直观地勒戒自定义属性的含义的,可以根据需要改为“网络”、“新闻头条”等。
代码第2行:set ('c','h','p','f','s','j','a','b','d'),括号中的字母对应已存在的标记符号和您需要添加的标记符号,并按顺序录入,不得改变先后顺序。例如,d排序第9位,则对应第一行代码中添加的自定义属性““评论d”。
一般是你网站程序有漏洞才会被挂马的,有些木马代码直接隐藏在DEDECMS的主程序里。建议你找专业做网站安全的sinesafe来给你解决。
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
二:挂马恢复措施:
1修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2创建一个robotstxt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改connasp,防止非法下载,也可对数据库加密后在修改connasp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。
8 cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。
9目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11例行维护
a定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b定期更改数据库的名字及管理员帐密。
c借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。
网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。
您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。
方法如下:
Dede自带模板首页字体颜色太浅,可在templets/style/layoutcss和dedecmscss和pagecss文件中修改字体:
一、dedecmscss里面:
1、找到header nav ul li a{ height:32px; padding:0px 13px 0px 14px; display:block; color:#FFF; font-size:14px; float:left;}这里修改首页导航栏字体颜色;
2、找到img{ border:none;}a{ color:#669933; text-decoration:none;}这里修改“互动中心、图文资讯、推荐内容、本月热点及页脚带超链接”的字体颜色;
3、找到header a{ color:#666666;}这里修改热门标签的字体颜色;
4、找到footer copyright{ color:#666666; line-height:23px;}这里修改网站底部非超连接字体的颜色。
二、layoutcss 里面
1、找到f5 li a{ color:#000000; float:left;}这里修改友情连接字体的颜色;
2、找到 tbox dt strong a{ color:#FFFFFF; } tbox dt strong a:hover{ color:#FFA500; text-decoration:none; }这里修改首页频道栏目标题字体颜色;
3、找到 tbox dt strong{ height:25px; line-height:25px; padding-left:10px; padding-right:4px; display:block; float:left; color:#FFFFFF; background:url(/images/mbox-tbgpng) left top no-repeat; letter-spacing:1px; }这里修改内容页“最新评论”等标题字体颜色;
三、pagecss 里面
1、找到index bignews a{ color:#000000;}这里修改首页头条字体颜色;
2、找到index bignews onenews p{ line-height:19px; color:#000;}这里修改首页头条简介字体颜色;
3、找到index latestnews ul a{ color:#000000;}这里修改“最近更新”字体颜色;
4、找到index listbox ul a{ color:#000;}这里修改自己添加的栏目文章标题字体的颜色;
5、找到index usercenter tbox dd#loading{ display:block; text-align:center; line-height:200px; letter-spacing:2px; color:#999999;}这里修改首页互动中心评论字体颜色;
有没有和我一样喜欢玩各种论坛博客的读者朋友呢,接下来和我了解一下关于虫虫营销助手吧。
关于虫虫
网站推广人员和SEO从业者了解的虫虫指的是虫虫营销助手软件(原名虫虫博客2009),是深圳市辉创软件技术有限公司开发的一款知名SEO优化软件,自动注册论坛、博客、B2B并自动发布外链和 广告 信息,是虫虫团队继知名SEO软件《虫虫博客群建》之后,广泛采纳用户建议、升级改进技术架构而研发成功的新一代综合SEO工具软件,用于外链发布 和站群管理。主要功能是针对大型网站包括门户博客和大型论坛,新闻评论,各种中小博客和论坛等高价值高权重网站的自动注册,自动发布,友情链接和签名档设置等。软件付费装机量超过两万+,为很多客户创造了巨大财富,拥有忠实的粉丝用户群体,在行业内具有一定的知名度。
虫虫营销助手拥有八大功能模块
1, 博客论坛群发群建:主要支持主流大型门户博客、大型论坛、贴吧、各种评论网站、分类信息、B2B商务信息网站的群建群发。
2, 站群自由管理:支持主流单用户,多用户公共建站程序多达180多种!可轻松管理数百个网站、博客站群 。
3, 文章 快速采集:内置强大的采集模块,灵活的采集规则编写功能,可采集任网站的内容,采集速度快。
4, 文章伪原创:支持标题组合,段落打乱, 近义词 替换,关键词自动链接与及随机关键词插入功能,促进搜索引擎收入。
5, 其它 SEO铺助:内置PR值,关键排名,网站收录数,关键词密度等多项个性化小功具,方便用户使用,提高工作效率。
6, 验证码智能识别:注册各类博客帐号论坛帐号时将为用户自动填写账户信息,用户只需要填写验证码并提交即可注册成功。
7, 链轮/串链功能:文章中串加其它文章的链接,交叉促进收录,可多个数目串加链接数。
8, 数据灵活管理:全方位管理数据,支持上传备份下载,导入导出备份还原功能,让你轻松管理数理重要网站信息无忧患 。
虫虫营销助手基本功能
1支持主流大型门户博客群建群发功能:
支持大型门户博客批量注册账号批量发布文章,截至2010年7月达到七十多个。包括:新浪博客、博客网、163网易博客、中国博客网、搜狐博客、百度空间、凤凰网博客、和讯博客、51com、博客大巴blogbus、TOM博客、天涯博客、阿里巴巴网商博客、聚友网Myspacecn、Csdn博客、中国网专家博客、东方博客、中金博客、豆瓣、土豆网个人空间、中关村在线博客、猫扑Hi、歪酷博客、乐趣网、搜房网博客、企博网、敏思博客、Facekoo飞思酷、比特博客、赛迪网IT博客、文学博客网、红豆博客网、大众论坛、四川在线天府博客、粉丝网、艾瑞网、环球在线博客、中证 财经 博客、太平洋汽车博客、51CTO技术博客、途牛博客、开啦空间、领地免费网站空间、创业邦、虎扑体育社区、太平洋电脑博客、摇篮空间、半岛博客、法律博客、我酷网、强国博客、Ku6网空间、太平洋女性网、中国证券网博客、同城旅游网博客、YOKA时尚网空间、直销博客、 儿童 博客网、成长博客、我邻网空间、法律博客、体坛博客、新竹自助建站系统、TechWeb IT博客等。
2支持主流大型门户论坛群发:
截至2010年5月达到60个,包括:新浪论坛、TOM社区论坛、阿里巴巴商人论坛、中关村在线论坛、太平洋电脑网产品论坛、中国站长论坛、永年论坛、汽车论坛-网上车市、搜房网论坛、Csdn程序员论坛、口碑网论坛等等。
3支持贴吧,股吧,分类信息,B2B商务信息网站群发:
截至2010年5月有十几个,包括:慧聪网、生意宝、百度贴吧、58同城网分类信息网、和讯股吧、赶集网、今题网分类信息、易登网、事事旺分类信息网、、新浪爱问知识人、天涯问答、天涯来吧、网易有道快贴、搜狗说吧等。
4支持国外大型博客和英文博客群发:
截至2010年5月达到二十多个,包括:wordpresscom、bloggercom、diggcom、livejournalcom、homelivecom、xangacom、viviticom、edublogsorg、blogfc2com、blogzoznamsk、blogcom、terapadcom、easyjournalcom、circlesglobecomph、blogalizaorg、urbanblogdk、blog23com、blogitnaimisiininfoblogs、elleblogses、bicyclesportscom、bloggurunet、military- netcom、my1blogcom、bloggatorecom、logph、blogpalungjitcom、wwwgynde、networkingstudentfilmmakerscom、fratloungecom、identityloopcom、wwwspordiacomwwwhelp3dcom、wwwcraftercirclecomblogcom、blogcom、wwwjeerancom等。
5站群管理功能:
支持主流单用户、多用户公共程序类型(专业版站群模块)四十多种,包括:ZBlog,Wordpress、Wordpress Mu、DedeCms织梦、帝国CMS、Php168、动易CMS、Bo-BLog、Pjblog、无忧CMS、KingCMS、ActCms 、SDCMS、新云CMS、PhpCms2008、OBLOG4、OBLOG3、PBDigg、LxBlog博客、动网博客Dvbbs Iboker、BbsGood论坛博客、Qjblog博客、Blog System、Discuz论坛、PhpWind论坛、BbsMax论坛、Phpbb2国外论坛、VBulletin国外论坛,Drupal,MovableType等。有了虫虫营销助手,轻松管理数百个网站或者博客群,不是问题。
6文章内容采集功能:
虫虫营销助手内置采集功能,可以采集任何网站的内容,如果你懒于文章的编写,可以使用这个功能。
7内容伪原创功能:
采集的内容经过伪原创后,能促进搜索引擎的收录。伪原创功能主要有标题变量组合,段落打乱,近义词替换,关键字自动链接,随机插入关键词,同时还集成了英汉互译,凡间互换等功能。
8网址资源自动搜索,自行更新数据库功能:
软件可以从Google和百度自动抓取网址地址资源并验证入库。用户可以方便的自行更新地址库,并且可以根据自己的需要,自行定制抓取规则。
9其它众多辅助功能和SEO查询功能:
虫虫营销助手还有多项个人性化的小功能,比如PR值查询,关键字排名查询,网站收录数百度谷歌查询,关键词密度查询,数据的服务器备份和本地备份,自动设置友情链接,导出用户首页地址,网址的有效性检查和网址清理功能,根据关键词对网址资源分组功能,代理服务器管理等等。
虫虫营销助手的市场潜力
营销ERO系统进入中国已经有十多个年头了,但依然保持着很大的发展速度,依旧是一个朝阳行业。据悉,前几年单单中国网络广告市场规模就有300多亿元,并且预计几年的数字将会增长为460多亿。而营销软件在最近几年更是如同雨后春笋一般涌现而出。的整合营销软件以一对一超精准营销软件的概念推出更是瞬间就获得了市场的肯定。虽然近年来互联网的发展速度非常之快,但因为本身的基数小,整合营销软件在同类市场中所占比例更低。市场处于出生的阶段,微课方兴未艾,蓝海一片。
飞速发展的互联网已经深深改变了人们的生活方式,越来越多的公司或是个人开始通过网络宣传产品和服务。营销软件的出现在很大程度上减少了宣传人员的劳动压力,提升了工作效率,又能以较小的成本去获取更大的利益。
资料显示,营销软件在国内市场已经有十来个年头了,但整合营销软件的推出还是首次,但中小企业收到价格和传统营销思维等因素的约束,在国内的市场还未打开。相对于传统功能单一的营销软件,整合营销软件具有一对一超精准营销、信息整合、在线操作、数据实时搜索、协同办公等诸多优势。它弥补了传统软件的单一功能、单方面营销、数据的质量问题、操作不便等问题,填充了中小企业在网络营销上飞速发展的需求。
整合营销软件的出现毋庸置疑就是多方位的进行营销方式。营销的方式是多种多样的,我们熟悉的就有搜索引擎的营销(SEM)、SEO优化、B2B、B2C平台站点营销等等,每个方面都有其优劣势,但若是将这些营销手段都组合到一起取长补短的话,那么效果很快就能凸显出来了。
0条评论