5月21日，瑞星公司向各大網(wǎng)站、企業(yè)網(wǎng)絡(luò)管理員發(fā)布安全警告：流行代理器軟件Nginx爆出0day漏洞，如果網(wǎng)站使用Nginx和PHP構(gòu)建，并且允許用戶上傳圖片，就會被黑客入侵，植入木馬等。目前，國內(nèi)多家大型門戶網(wǎng)站、購物網(wǎng)站采用了該軟件，存在易被攻擊的漏洞，截至發(fā)稿時已有某大型購物網(wǎng)站等被成功入侵。
　　據(jù)介紹，Nginx是一個高性能的 HTTP 和 反向代理服務(wù)器軟件，被廣泛用于大型博客、購物、相冊等網(wǎng)站的服務(wù)器中，國內(nèi)排行前列的大型網(wǎng)站使用的服務(wù)器，多數(shù)安裝了該軟件。此漏洞為獨(dú)立研究團(tuán)隊(duì)80sec昨日下午公開的，目前Nginx的開發(fā)者至今尚未發(fā)布相應(yīng)補(bǔ)丁。
　　據(jù)統(tǒng)計(jì)，全球有1300萬臺服務(wù)器運(yùn)行著Nginx程序，其中的600萬臺同時運(yùn)行Nginx和PHP程序，帶有漏洞，易被攻擊。國內(nèi)易遭攻擊的服務(wù)器數(shù)量可能高達(dá)百萬臺。瑞星安全專家建議各大網(wǎng)站和企業(yè)網(wǎng)絡(luò)的CTO，可以采用以下臨時措施降低該漏洞的影響：
　　第一、設(shè)置php.ini的cgi.fix_pathinfo為0，重啟php。這種修改可能影響到目前服務(wù)器上運(yùn)行的應(yīng)用。
　　第二、在nginx的vhost配置文件添加如下內(nèi)容后重啟：
　　if ( $fastcgi_script_name ~ \..*\/.*php ) {
　　return 403;
　　}
　　禁止上傳目錄解釋PHP程序。這種解決措施會影響vhost和服務(wù)器，實(shí)施難度比較大。
　　瑞星安全專家提醒網(wǎng)民：近期多個大型網(wǎng)站可能遭黑客攻擊被植入木馬，因此請網(wǎng)民即使在訪問大型網(wǎng)站時也要做好防護(hù)，安裝含有“防掛馬”模塊的瑞星2010，對自己的電腦進(jìn)行防護(hù)。

標(biāo)簽： 安全 代理服務(wù)器 服務(wù)器 服務(wù)器軟件 開發(fā)者 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。