windows2003服务器下dedecms漏洞（发攻击包的处理）

在我司 中电云集 在操作windows系统阿里云数据迁移的过程中
发现一些客户站点 用dedecms架构，
被写入木马 发包攻击 造成网站访问问题 以及服务器故障

根据本人经验  大家可以参考下 希望对大家有帮助

1、权限处理（在 iis上对以下目录做下处理）
data/cache   ---取消php执行权限
uploads  ---取消php执行权限
templets     ---取消php执行权限  只可读
include --- 只可读
plus --- 只可读

2、函数的处理
如果网站采用dedecms二次开发 没有用到采集功能

可以对 php.ini做如下 处理
disable_functions =exec,system,passthru,popen,pclose,shell_exec,proc_open,curl_exec,multi_exec,dl,chmod,
stream_socket_server,popepassthru,fsockopen,pfsockopen,gzinflate,eval
allow_url_fopen = Off

3、服务器服务端口的处理

例如 自带的防火墙  或ipsec安全策略
首先禁止所有的端口 然后开放一些常用端口  80 21 20 53 等

4、通过查看dedecms官方打最新的补丁
------------------------------------------------------------------------------------------------------------------------------------
另外 通过查找发包文件
C:\Windows\System32\LogFiles\HTTPERR\httperr...log  日志文件 可以找出 发包的文件

查找关键字 为 port=
类似
2012-04-26 06:37:28 58.20.112.112 26817 98.126.54.13 80 HTTP/1.1 GET /xxxx/xxxxxx.php?host=122.224.38.100&port=445&time=120 503 783 Disabled 30_Host_1
最后三项783 Disabled 30_Host_1
783就是这个站在IIS中的ID
30_Host_1就是所在池