2. 程式人生 > 實用技巧 >80後發現nginx 0day漏洞百萬伺服器受威脅

80後發現nginx 0day漏洞百萬伺服器受威脅

阿新 發佈:2020-10-19
 國內頂級安全團隊80sec於5.20日下午6點發布了一個關於nginx的漏洞通告,由於該漏洞的存在,使用nginx+php組建的網站只要允許上傳圖片就可能被******,直到5.21日凌晨,nginx尚未釋出修復該漏洞的補丁;已經有一些網站被黑了,管理員速修復!  沒錯,重申一次,由於nginx有漏洞,這100萬臺伺服器可能通過上傳圖片的方法被***輕易的植入***。植入***的過程也非常簡單,就是把***改成圖片上傳就是了,由於危害非常大,就不說細節了。有興趣的請訪問 http://www.80sec.com/nginx-securit.html   說了那麼多,我想大家對80sec這個頂級安全團隊比較好奇吧,素包子簡單介紹一下。
  80sec團隊由一群年輕、充滿活力、充滿體力、充滿激情、富有創造力的未婚dota男組成,他們均在各大網際網路公司從事資訊保安工作,他們的口號是know it then hack it,素包子非常認同這個觀點:“我們只要非常熟悉一個事物,就有可能客觀的發現它的不足之處,同時我們也能的發現該事物的優點”。   80sec的意思是“80埠的安全”,也就是“web安全”;同時由於該團隊成員都是80後的年輕人,我們也可以理解為“80後安全”;另外由於sec的發音是se ke,我們還可以理解為“80後色客”、“80後攝客”或“80後S客”,我們對80sec的理解僅受限於想象力。   下面介紹一下他們的豐功偉績,他們曾發現IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等軟體的漏洞,可見碩果累累。
  既然介紹了80sec,就不得不介紹另外一個非常專注WEB安全的頂級安全團隊80vul,該團隊同樣也是由80後的男童鞋組成(90後表示壓力很大:p),他們也發現了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。   看到這裡,想必大家心裡都有那麼點遺憾,那就是為何沒有80後女***(我不歧視偽娘,但我必須說明不是偽娘),我也有相同的遺憾。   最後發一個小道訊息,據說***已經在行動了;安全人員、系統管理人員、行動起來吧,趕緊修復該漏洞;最好不要有僥倖心理,否則下一個被******的可能就是你的網站。根據80sec安全公告的描述,臨時修復方法如下,可3選其一。
  1、設定php.ini的cgi.fix_pathinfo為0,重啟php。最方便,但修改設定的影響需要自己評估。   2、給nginx的vhost配置新增如下內容,重啟nginx。vhost較少的情況下也很方便。   if ( $fastcgi_script_name ~ ..*/.*php ) {   return 403;   }   3、禁止上傳目錄解釋PHP程式。不需要動webserver,如果vhost和伺服器較多,短期內難度急劇上升;建議在vhost和伺服器較少的情況下采用。

相關推薦

80發現nginx 0day漏洞百萬伺服器威脅

 國內頂級安全團隊80sec於5.20日下午6點發布了一個關於nginx漏洞通告,由於該漏洞的存在,使用nginx+php組建的網站只要允許上傳圖片就可能被******,直到5.21日凌晨,nginx尚未釋出修復該漏洞的補丁;已

nginx 解決不同web伺服器 在同一伺服器使用80埠問題

一個網站是php做的(apache為web伺服器)、一個是asp.net做的(IIS為web伺服器) 上配置

使用Swift的端開發之---如何在伺服器上部署 Vapor?和PostgreSQL?

環境需求 Ubuntu 18.04 x64 Swift 5.0.2 Vapor Toolbox: 3.1.10 Nginx Supervisor 搭建完成雲伺服器之後,使用SSH進入Ubuntu,進行下面的安裝

Swoole 繫結域名 80 埠 (Nginx 反向代理)

啟動 Swoole 的 http server,可以使用 IP + 埠 進行訪問 建立 Nginx 虛擬域名 vim swotp.liuguofeng.com.conf

電腦安裝win10系統發現d盤不見了怎麼回事

你有沒有遇到win10系統下載安裝後發現磁碟竟然沒有d盤,這是怎麼回事?需不需要重新安裝系統。正常來說,新安裝的系統預設狀態下是沒有分割槽的,往往只有一個分割槽,不過我們可以自行新增d盤。如果分割槽還沒有D

win10安裝遊戲或軟體發現d3dx9_30.dll丟失打不開怎麼辦

好多小夥伴滿心歡喜的在win10安裝遊戲或軟體,安裝之後發現打不開了並且提示d3dx9_30.dll丟失,這是什麼情況?DirectX 9.0是玩遊戲的必備東西,而d3dx9_XX.dll則是裡面的必備檔案。因此,和大家詳細分享一下修復方法

Nginx修復漏洞打補丁過程

漏洞報告 最近收到安全部門的安全掃描報告。內容如下: nginx 安全漏洞(CVE-2018-16845)中危nginxnginx是由俄羅斯的程式設計師Igor Sysoev所開發的一款輕量級Web伺服器/反向代理伺服器及電子郵件(IMAP/POP3)代

Nginx】如何使用Nginx搭建流媒體伺服器實現直播?看完這篇我會了!!

寫在前面 最近幾年,直播行業比較火,無論是傳統行業的直播,還是購物、遊戲、教育,都在涉及直播。作為在網際網路行業奮鬥了多年的小夥伴,你有沒有想過如果使用Nginx搭建一套直播環境,那我們該如何搭建呢?別急,

vue接通端api以及部署到伺服器操作

1.開啟專案工程,找到config資料夾下index.js,進行以下修改 dev: { // Paths assetsSubDirectory: \'static\',assetsPublicPath: \'/\',proxyTable: {

c# NOPI匯出excel發現有部分內容有問題 ”

查詢網上的方法發現有以下幾種: 1.workbook.Write(ms)生成的 MemoryStream,使用了 ms.GetBuffer()返回檔案內容,導致生成的 Excel檔案結尾處有大量的 00(空位元組),改為 ms.ToArray()即可得到正常的檔案了

若依前後端分離版原始碼分析-前端頭像上傳傳遞到後臺以及在伺服器上儲存和資料庫儲存設計

場景 使用若依前後端分離版本時,分析其頭像上傳機制。 可作為續參考學習。

django+nginx+uwsgi+vue部署伺服器

1. 安裝虛擬環境 2. 安裝專案所需要依賴的包 sudo pip3 freeze > requirements.txt pip3 install -r requirements.txt

PHPstudy Nginx解析漏洞復現

漏洞描述 影響版本:phpstudy <= 8.1.0.7 phpstudy 存在 nginx 解析漏洞,攻擊者能夠利用上傳功能,將包含惡意程式碼的合法檔案型別上傳至伺服器,從而造成任意程式碼執行的影響。

nginx +ftp 搭建圖片伺服器

安裝ftp元件 (1)有網狀態下,並且有yum安裝軟體元件: yum -y install vsftpd 新增ftp使用者並設定密碼

Nginx(四)、http伺服器檔案查詢實現

  上一篇nginx的文章中,我們理解了整個http正向代理的執行流程原理,主要就是事件機制接入,header解析,body解析,然後遍歷各種checker,直到處理成功為止。

Linux網路服務--LAMP+Nginx+Squid搭建web伺服器

一、專案名稱LAMP+Nginx+Squid搭建web叢集環境二、專案拓撲三、專案描述 3.1 專案環境某部隊為了滿足資訊化政治工作建設需要,用以豐富官兵日常生活內容,活化教育形式,更好的建設部隊人文環境,準備架設

中科大80教授、潘建偉高徒陸朝陽獲美國物理學會量子計算獎,曾獲菲涅爾獎和阿道夫隆獎章...

自 2017 年榮獲歐洲物理學會頒發的菲涅爾獎和 2020 年初美國光學學會頒發的阿道夫隆獎章,這位 80 教授在量子領域的研究成果再次獲得了國際上的認可。

更新至Android Studio4.1發現as打不開的解決方法(原因分析)

前言 今天收到了as更新4.1推送,更完發現打不開了,報下面的錯誤 Internal error. Please refer to https://code.google.com/p/android/issues

【原創】80的痛有誰懂!

路途拾荒 在這充滿希望的年代,我們都在荒蕪的歲月中追逐著夢想,儘管夢想很遙遠,但在拾荒的路途中,我們痛並快樂著。

Nginx反向代理快取伺服器搭建

Nginx反向代理 代理服務可簡單的分為正向代理和反向代理:正向代理: 用於代理內部網路對Internet的連線請求(如×××/NAT),客戶端指定代理伺服器,並將本來要直接傳送給目標Web伺服器的HTTP請