感谢广大客户对我司工作的信任和支持！

粽子香，包五粮，剥个粽子裹上糖，红火生意节节长！在端午节前夕，感谢广大客户对我司工作的信任和支持！并祝福您端午节快乐！
我司2016年6月9日（周四）至6月11日（周六）为端午节休假时间。放假期间如果您有需要我们协助的地方，您可以按照以下两种途径来联系我们：

一、您可以在您的会员中心–>技术支持–>提交服务单，我们会及时为您处理。

二、客服QQ不定时会有值班客服在线，有任何问题请详细描述问题留言，客服看到后会即时给予答复。

端午节休假期间，由于值班人员有限，有可能会出现不能及时接听您的来电或者回复您工单的情况；但请您放心，值班人员会在最短的时间内回复您的工单，给您可能造成的不便，敬请谅解。我们将一如既往地为您服务！谢谢您的选择！愿我们的合作越来越愉快！

顺祝
商祺！

作为验证域名Whois信息真实准确的必要步骤，以下情况每个通用域名(仅限.com .net .org .info .biz .tel .asia .mobi .pro .xxx .name .jobs类型)注册人联系信息需在15天内完成认证。

1.使用未经验证的联系人信息注册域名
2.新转入域名
3.修改域名注册人联系信息

若域名所有人未在15天内验证联系信息，在完成验证流程之前注册商将会暂时冻结该域名。此项规定已于2014年1月1日正式开始实施，而对于在此之前已注册的域名若没有发生联系人信息变更情况则并不适用。

自2014年1月1日起，域名注册人邮箱将会收到一封验证邮件。域名注册人须在15天内点击其中的链接完成验证流程。

若注册人并未在规定时间内完成验证操作，域名DNS将被停止解析并指向到特定停放页面。该页面将显示因注册人联系信息未完成验证导致无法正常使用及建议注册人通过联系域名注册服务提供商恢复域名等提示信息(目前暂时显示英文)。

验证流程要点:

1. 验证邮件将会在域名注册成功后即时发出。若注册人未及时响应，则系统会在注册后第七天和第十四天再次发送提醒邮件。
2. 在规定的15天验证期限内域名仍可正常解析。除非在限定时间之内仍未完成必要的验证流程，否则域名所有人均可自由使用。
3. 一旦邮箱通过验证，则之后使用该邮箱进行的所有注册/转入/联系人信息更新操作等均无需再次重复验证。
4. 根据ICANN的条款要求，每年注册商都将会向域名注册人发送一封域名Whois信息正确性提醒邮件(Whois Data Reminder)。同时，注册商将对所有邮件发送状态进行监控——若出现退信的情况，注册商的争议处理部门将进行会进行审查，并对该域名采取相应的处理措施。

若您对于新流程有任何疑问，请随时联系我们。

附:

Dedecms最新变量覆盖漏洞
WASC Threat Classification

发现时间：
2013-07-03

漏洞类型：
其他

所属建站程序：
DedeCMS

所属服务器类型：
通用

所属编程语言：
PHP

描述：
目标存在全局变量覆盖漏洞。
1.漏洞文件/include/common.inc.php
2.检查外部变量存在缺陷，导致可以任意覆盖任意全局变量。

危害：
1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门 。

临时解决方案：
在 /include/common.inc.php中找到如下代码
CheckRequest($_REQUEST);
在下面添加
CheckRequest($_COOKIE);

欢声笑语辞旧岁,龙腾虎跃闹新春,值此辞旧迎新之际,BlogHost主机祝所有合作伙伴和用户们身体健康,阖家幸福!2011年,我们奉行诚信、合法、规范的经营理念,不间断努力为大家提供稳定、安全、高速的网络环境,在原有产品的基础上,拓展产品的深度和广度,全新推出了美国VPS,香港主机,日本主机，多线服务器托管、租用,海外域名注册、转移等多项增值服务,给用户们更多的选择和希冀,在2012年,我们将加倍努力,加强产品研发和渠道拓展,锐意进取,为用户奉献更多更好的产品.

在春节放假及值班方面,我司将于2012年1月22日至1月29日间安排放假,2月1日起正式上班.放假期间,本司将有值班人员职守,日常服务将照常进行.详情如下:

今年本司值班将全部采用在线问答平台(工单平台)进行全平台技术值班服务,所有问题请通过后台工单提问,我司值班人员将在4小时内响应和处理问题,您可以通过BlogHost主机会员中心提出您的问题,我们的专员将为您解答和处理.

由于部分机房假期期间封网,我们希望用户们在春节假期期间尽量少做对服务器有较大影响的操作.另外提醒伙伴和有产品即将到期的用户提前充值预付款或进行续费,以免操作不及时造成延误,从而给您带来不必要的损失.

最后,感谢您在过去的一年时间里对我司的信任和支持,风云互联全体员工祝您新的一年财源广进、万事顺意、龙马精神、大吉大利!

首先进入DA控制面板，单击“备份管理”。进入如下页面：

之后点击“创建备份”按钮。这时系统会给出提示，

大体意思为：“备份正在排队，完成后你会收到消息提示。”

这时，请耐心等待几分钟，根据数据的大小，备份的时间也不同。大概10分钟后，刷新DA控制面板主页。
会看到右上角的信封图标处于闪动状态。这时备份已经完成。
进入DA控制面中的“文件管理器”点击进入“backups”文件夹，会看到备份文件（备份文件会以备份日期为文件名）。

这时备份就已经完成了，只需要将数据下载到本地保存就可以。推荐使用FTP进行下载。

二、恢复。

首先登陆新空间的DA面板，之后进入“文件管理器”。
在根目录创建一个名为“backups”的文件夹，创建方法如图：

之后进入“backups”文件夹。将备份文件上传到该文件夹。

上传完毕之后，回到DA控制面板主页，进入“备份管理”。

点击“选择恢复选项”。进入如下页面：

这里一定要注意，一定要将“DNS Zones: 包含所有的 A 记录和 MX 记录”取消勾选。
最后点击“恢复已选择项目”。稍等片刻，主机就会恢复。

最后进行收尾工作，比如修改域名解析等。
还有些客户由于更换主机名导致数据库名前缀变更，
所以需要修改程序中数据库连接文件中的数据库信息，这里就不详细介绍了。

二，把域名DNS修改为BlogHost主机的DNS。做为负责任的主机商，我们一直致力于为用户提供稳定的DNS解析服务器，BlogHost主 机用户可以在主机开通信中找到您主机的DNS服务器，一般格式应该为：NS**.BHDNS.NET和NS**.BHDNS.NET两条，**为相邻的两 组服务器编号，修改之后会自动解析。

三，将域名从新网转出，转入其他知名域名注册商。为避免新网域名一再出故障，建议用户将域名转出，转入其他知名域名注册商，比如 godaddy,name.com,namecheap和我们BlogHost。你可以访问

http://my.bloghost.cn /cart.php?a=add&domain=transfer

填上你要转入的域名，支付之后即可开启域名转入BlogHost流程，不明白之 处可以联系我们客服。

.COM和.NET注册费用不涨价！涨价成本由我们BlogHost内部消化！

VeriSign又是何许人物？能掌控com域名价格？

VeriSign是负责.com、.net、.cc和.tv域名的注册管理工作的一家纳斯达克上市公司。VeriSign与ICANN在 2006年 3月签署了6年协议，有效期至2012年，该协议规定VeriSign在四年之内每年价格上调幅度不能超过7％，但是允许VeriSign出于安全因素或 者是ICANN政策变动而额外上调价格。

　　您好，感谢您选择BlogHost的服务。
　　我司假期定于2010年5月1日至5月3日（共3天），5月4日正式上班。
　　“五一”假期期间，以下服务暂停提供：域名过户、域名会员号转移、域名转出、空间会员号转移等，其他各项业务如常开展，您可登陆会员中心进行业务提交和管理；

　　节日期间将有值班人员为您24小时提供服务，任何业务上的疑问均可至后台提交有问必答。(服务QQ:81189670)

　　同时友情提醒：

　　请您提前查看会员帐号下域名或是虚拟主机是否在节日中到期，如有此情况，请在节前做好续费工作，以免因长假期无法给域名或是虚拟主机续费，导致使用暂停。
　　请于节前预计业务情况打入足够预付款。避免由于款项不足导致业务无法照常开展；节日期间银行、邮局不对公办理业务，因此在节日期间如果您要续费或者购买产品，请您采用在线支付方式。
　　再次感谢您对BlogHost的支持与信任。

http://bbs.dedecms.com/354574.html

http://bbs.dedecms.com/391637.html

因黑客上传木马后会调用PHP中的fsockopen()函数大量发包，严重影响机房稳定，故目前我司对dedecms用户采取关闭写入权限等办法，敬请谅解!
　　如果您使用了DedeCMS程序，请立即按如下流程处理：
　　1.在dedecms的后台更新补丁,尽可能升级为最新版本。
　　2.data、templets、uploads、install这几个目录用控制面板的“目录保护”功能 禁止执行权限 。
　　3.如果只是使用文章系统并没有使用会员功能,则强推推荐:关闭会员功能、关闭新会员注册、直接删除member目录或改名。
　　4.用dedecms后台的“系统”中的文件校验和病毒扫描功能 查杀病毒木马。
　　5.检查有无/data/cache/t.php 、/data/cache/x.php和/plus/index.php 这些木马文件,有的话则应立即删除。
　　请及时关注dedecms的最新补丁,如果官方出新补丁,则应立即更新。

　　感谢您的支持!
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2011-4-27

第一、安装的时候数据库的表前缀，最好改一下，不用dedecms默认的前缀dede_,可以改成ljs_,随便一个名称即可。

第二、后台登录开启验证码功能，将默认管理员admin删除，改成一个自己专用的，复杂点的账号，管理员密码一定要长，至少8位，而且字母与数字混合。

第三、装好程序后务必删除install目录

第四、将dedecms后台管理默认目录名dede改掉。

第五、用不到的功能一概关闭，比如会员、评论等，如果没有必要通通在后台关闭。

第六、以下一些是可以删除的目录：
member会员功能
special专题功能
company企业模块
plus\guestbook留言板
以下是可以删除的文件：
管理目录下的这些文件是后台文件管理器，属于多余功能，而且最影响安全,许多HACK都是通过它来挂马的
file_manage_control.php
file_manage_main.php
file_manage_view.php
media_add.php
media_edit.php
media_main.php
再有：
不需要SQL命令运行器的将dede/sys_sql_query.php 文件删除。
不需要tag功能请将根目录下的tag.php删除。不需要顶客请将根目录下的digg.php与diggindex.php删除。

第七、多关注dedecms官方发布的安全补丁，及时打上补丁。

第八、下载发布功能（管理目录下soft__xxx_xxx.php），不用的话可以删掉，这个也比较容易上传小马的.

第九、DedeCms官网出的万能安全防护代码,登录dedecms官网论坛查看.

第十、最安全的方式：本地发布html，然后上传到空间。不包含任何动态内容，理论上最安全，不过维护相对来说比较麻烦。

第十一、由于黑客上传恶意代码的目录主要是 /data /data/cache 和 /plus 这三个目录，请务必设置这三个目录的权限，需要执行权限的，请设置成不可写，需要写权限的，请设置成不可执行，也就是这三个目录的权限要么是555，要么是644！

第十二，还是得经常检查自己的网站，被挂黑链是小事，被挂木马或删程序就很惨了，运气不好的话，排名也会跟着掉。所以还得记得时常备份数据.