dedecms系統后臺登陸提示用戶名密碼不存在dedecms最近被曝有非常多的安全漏洞,最近有些用戶反應后臺管理員賬號密碼沒有修改但無法正常登陸, 提示用戶名不存在,經研究發現是程序漏洞管理員被直接篡改,解決方案如下。 一、請先使用phpmyadmin登陸mysql管理,虛擬主機可以點擊控制面板左邊數據庫, 然后點擊在線管理mysql數據庫可以進入phpmyadmin管理數據庫
登陸以后查看dede_admin表里面的用戶是否被篡改為spider 點擊編輯,直接將spider修改為您需要的管理員,pwd替換為962ac59075b964b07152,這個密碼是123,更改以后請及時登陸網站后臺進行修改密碼。
二、下載 /include/dedesql.class.php和/include/dedesqli.class.php 找到如下代碼: if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); } $GLOBALS[$v1] .= $v2; } 修改為: $GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07 if(isset($GLOBALS['arrs1'])) { $v1 = $v2 = ''; for($i=0;isset($arrs1[$i]);$i++) { $v1 .= chr($arrs1[$i]); } for($i=0;isset($arrs2[$i]);$i++) { $v2 .= chr($arrs2[$i]); } $GLOBALS[$v1] .= $v2; } 有些版本dedesqli.class.php里面沒有這段代碼,修改前請做好備份,然后再重新上傳, 我司只測試過該方法對賬號漏洞的修補功能有效,對系統其它功能有無影響沒有測試, 如有影響請還原測試,dedecms漏洞非常多并且很嚴重,請注意及時升級更新補丁。
|
|||
| >> 相關文章 | |||
浙公網安備 33048302000166號
