Archive for 七月, 2013

尊敬的用户：
鉴于近期因dedecms程序暴出漏洞被部分不法分子利用，导 致部分用户所使用的空间、vps、托管租用产品受到极大影响， 我司建议从以下几方面着手对服务器及站点程序进行安全加固， 以保证业务有效正常运行。
1、 立刻检查网站后台用户名密码是否正常，查看登录日志是否 异常。
2、 立刻备份网站程序及数据库文件。
3、 更新程序到最新版本（并不能完全解决故障，需配合其他建 议执行）。
4、 注册使用360网站卫士（wangzhan.360.cn）。
5、 立刻清理木马（使用护卫神或网站安全狗扫描站点程序文件 ）。
6、 加强服务器安全（如在防火墙中禁用UDP等）。
7、 将plus目录权限更改至最低。
8、 如果网站用不到会员中心，可将member目录删除或更名。
9、 清除网站程序文件内所有注释内容。
10、 更换程序，使用其他cms程序替代dedecms。

附:

Dedecms最新变量覆盖漏洞
WASC Threat Classification

发现时间：
2013-07-03

漏洞类型：
其他

所属建站程序：
DedeCMS

所属服务器类型：
通用

所属编程语言：
PHP

描述：
目标存在全局变量覆盖漏洞。
1.漏洞文件/include/common.inc.php
2.检查外部变量存在缺陷，导致可以任意覆盖任意全局变量。

危害：
1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门 。

临时解决方案：
在 /include/common.inc.php中找到如下代码
CheckRequest($_REQUEST);
在下面添加
CheckRequest($_COOKIE);