| 發佈者:互聯網 日期: 2010-05-21 09:26:57 瀏覽次數:94 (共有0條評論) 查看評論 | 我要評論 |
|
國內頂級安全團隊80sec於5.20日下午6點發布了一個關於nginx的漏洞通告,由於該漏洞的存在,使用nginx+php組建的網站只要允 許上傳圖片就可能被******,直到5.21日凌晨,nginx尚未發佈修復該漏洞的補丁;已經有一些網站被黑了,管理員速修復!
根據Netcraft的統計,直到2010年4月,全球一共有1300萬臺服務器運行着nginx程序;非常保守的估計,其中至少有600萬臺服務 器運行着nginx並啓用了php支持;繼續保守的估計,其中有1/6,也就是100萬臺服務器允許用戶上傳圖片。有圖有真相。 |
沒錯,重申一次,由於nginx有漏洞,這100萬臺服務器可能通過上傳圖片的方法被***輕易的植入***。植入***的過程也非常簡單,就是把***改成圖片上傳就是了,由於危害非常大,就不說細節了。
說了那麼多,我想大家對80sec這個頂級安全團隊比較好奇吧,素包子簡單介紹一下。
80sec團隊由一羣年輕、充滿活力、充滿體力、充滿激情、富有創造力的未婚dota男組成,他們均在各大互聯網公司從事信息安全工作,他們的口號 是know it then hack it,素包子非常認同這個觀點:“我們只要非常熟悉一個事物,就有可能客觀的發現它的不足之處,同時我們也能的發現該事物的優點”。
下面介紹一下他們的豐功偉績,他們曾發現IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等軟件的漏洞,可見碩果累累。
既然介紹了80sec,就不得不介紹另外一個非常專注WEB安全的頂級安全團隊80vul,該團隊同樣也是由80後的男童鞋組成(90後表示壓力很 大:p),他們也發現了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。
據說***已經在行動了;安全人員、系統管理人員、行動起來吧,趕緊修復該漏洞;最好不要有僥倖心理,否則下一個被******的可能就是你的網站。根據80sec安全公告的描述,臨時修復方法如下,可3選其一。
1、設置php.ini的cgi.fix_pathinfo爲0,重啓php。最方便,但修改設置的影響需要自己評估。
2、給nginx的vhost配置添加如下內容,重啓nginx。vhost較少的情況下也很方便。
| if ( $fastcgi_script_name ~ \..*\/.*php ) { return 403; } |
3、禁止上傳目錄解釋PHP程序。不需要動webserver,如果vhost和服務器較多,短期內難度急劇上升;建議在vhost和服務器較少的情況下采用。
文章來源:素包子的網站 http://baoz.net/nginx-0day-by-80sec/
分享技術快樂自我
用nginx+php的人快行動起來吧,別給人留住後門