ballpen

目前data、uploads有执行.php权限，非常危险，需要立即取消目录的执行权限！



DEDE的这个问题咋解决啊  



linux +kloxo  环境

onepeople

DEDE就是被黑的对象 ...

rqliang

有方法破吗?

深圳湾

nginx的方法



# 2011 (C) cnpanel
# Disable visitors without agent
if ($http_user_agent ~ ^$) { return  412; }
# Disable possible Apache access files
location ~ /\.ht {deny  all;}
# Never can not visit or download files or DIRs starting with #
location ~ /\# {deny all;}
# Disable risk request in some DIRs for secure
location ~* /(image|images|img|imgs|upload|uploads|upimg|upimgs|upfile|upfiles|down|download|downloads|attachment|attachments|js|css|style|styles|tpl|template|templates|theme|themes|view|views|lang|language|languages|setting|settings|app|apps|include|includes|class|classes|mod|mods|model|models|lib|libs|control|controls|source|sources|plugin|plugins|data|datas|database|tmp|temp|ipdata|html|avatar|avatars)/(.*)\.(php|php3|php4|php5|cgi|asp|aspx|jsp|shtml|shtm|pl|cfm|sql|mdb|dll|exe|com|inc|sh)$ {deny all;}

nuet

一些程序虽然是开源的但是一些漏洞 我们不知道或者知道存在不知道怎么解决的时候 就得想偏门的办法来解决它。
[I]

RewriteEngine on

RewriteRule (plus|member|special|include|data|a|images|templets|uploads|dede|usr)/(.*).(php)$ – [F]

[/I]


apache下在.htaccess下加入代码就可以，如果是nginx做webserver可以参考dedecms免疫漏洞之nginx
plus目录下有些文件需要调用的话 另外再定制规则进去
更新：
原来的代码有个小问题就直接浏览目录php照样执行造成了一个死角，这次修改更新将死角彻底杜绝。

网者归来

珍惜生命，原理dedecms

ballpen

深圳湾 发表于 2013-4-11 14:02



nginx的方法

# 2011 (C) cnpanel
我是用的apache  

小白白

dede一次就用过一次 太不安全了 感觉

thymol

指定后缀的文件才能被读取data、uploads是什么权限
php又是什么权限