Nginx 0day漏洞，各管理员速修复！

goldstein

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁；已经有一些网站被黑了，管理员速修复！

没错，重申一次，由于nginx有漏洞，这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单，就是把木马改成图片上传就是了，由于危害非常大，就不说细节了。有兴趣的请访问

1. http://www.80sec.com/nginx-securit.html

复制代码

据说黑客已经在行动了；安全人员、系统管理人员、行动起来吧，赶紧修复该漏洞；最好不要有侥幸心理，否则下一个被黑客入侵的可能就是你的网站。根据80sec安全公告的描述，临时修复方法如下，可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0，重启php。最方便，但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容，重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver，如果vhost和服务器较多，短期内难度急剧上升；建议在vhost和服务器较少的情况下采用。

ffnn

CTT时间是怎么计算的？

goldstein

文章好像没有涉及到China Taiwan Time吧？

cqboy2003

dreamhost涉及到不？

rena

了解了

goldstein

原帖由 cqboy2003 于 2010-5-21 19:29 发表
dreamhost涉及到不？

DreamHost的虚拟主机是Debian+Apache，不受影响。如果DreamHost的VPS和独机装的Nginx，一样危险。用Nginx的多是大型网站，如WordPress、新浪、网易、豆瓣等。

Nginx高速，稳定，且能承受很高负载，前途一片光明。目前总量有1千300万，市场份额排第三，仅次于Apache和IIS。

jinxl560

已经改了 呵呵