首页 > 动态 > 关键词 > 黑客最新资讯 > 正文

nginx 0day漏洞 上传图片可入侵百万台服务器

2010-05-21 08:52 · 稿源:baoz.net

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!

根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。有图有真相。

 

没错,重申一次,由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传就是了,由于危害非常大,就不说细节了。

说了那么多,我想大家对80sec这个顶级安全团队比较好奇吧,素包子简单介绍一下。

80sec团队由一群年轻、充满活力、充满体力、充满激情、富有创造力的未婚dota男组成,他们均在各大互联网公司从事信息安全工作,他们的口号是know it then hack it,素包子非常认同这个观点:“我们只要非常熟悉一个事物,就有可能客观的发现它的不足之处,同时我们也能的发现该事物的优点”。

下面介绍一下他们的丰功伟绩,他们曾发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的漏洞,可见硕果累累。

既然介绍了80sec,就不得不介绍另外一个非常专注WEB安全的顶级安全团队80vul,该团队同样也是由80后的男童鞋组成(90后表示压力很大:p),他们也发现了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。

据说黑客已经在行动了;安全人员、系统管理人员、行动起来吧,赶紧修复该漏洞;最好不要有侥幸心理,否则下一个被黑客入侵的可能就是你的网站。根据80sec安全公告的描述,临时修复方法如下,可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。

文章来源:素包子的网站 http://baoz.net/nginx-0day-by-80sec/

  • 相关推荐
  • 大家在看
  • 苹果( Sign in with Apple)漏洞未经授权访问链接服务

    "Apple登录( Sign in with Apple)"是苹果公司在去年WWDC推出的一项登录服务,用户不需要再繁琐地填入账号和密码,而只需要点击这个选项,系统便可以自动识别并认证你的个人身份,并通过匿名邮件服务为你注册账号。

  • WhatsApp漏洞或已暴露用户的手机号码

    某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。

  • 索尼悬赏35万征集PS4漏洞:避免破解

    其实早今年就有关于PS4和Xbox One被破解的消息流出,其方法并不假,只是限制重重,远非完美方案,同时,索尼、微软方面也通过和黑客的沟通,保持自己的系统更新先于破解一步。据外媒报道,索尼

  • 《英雄联盟》曝漏洞:部分英雄可造成全图伤害 官方回应

    6月19日下午,《英雄联盟》官微发表“关于召唤师峡谷平衡性漏洞的说明”。文中指出,当前游戏内召唤师峡谷模式存在平衡性漏洞,导致部分英雄在特殊情况下可以对全地图范围内的敌人造

  • 苹果突发iOS/iPadOS 13.5.1更新:封堵越狱漏洞!

    今天苹果发布了iOS和iPadOS 13.5. 1 的更新,乍一看让人觉得非常意外,但实际却并非如此。从目前已知的更新情况来看,苹果iOS 13.5. 1 主要是用来修补Unc0ver越狱所使用的漏洞,而之前Pwn20wnd发布了unc0ver 5.0. 0 的下载,它理论上支持iOS 11~iOS 13. 5 系统的全iOS设备越狱(iOS 12.3-12.3.2、12.4.2-12.4. 5 除外)。

  • 封堵邮件漏洞 苹果敦促iPhone用户尽快安装iOS 13.5更新

    苹果方面已经要求iPhone用户尽快更新iOS 13. 5 安全更新,因为在这个版本中,修复了不少安全上的漏洞。有同样需求的还有德国联邦安全局(BSI),其也敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。

  • 最强蜗牛服务器无响应详细解决办法 三种办法解决服务器无响应

    最强蜗牛经常的会碰到服务器无响应的情况,那么遇到这样的情况怎么办呢?下面就来为大家分享一下最强蜗牛服务器无响应详细解决办法。

  • 周鸿祎调侃潘石屹学python:他写的估计一百行里有十个漏洞

    在 6 月 20 日极客公园联合bilibili举办的Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因称,一是人写代码的技术漏洞,二是违背安全规则的人性漏洞。

  • 周鸿祎谈新基建面临安全挑战:漏洞无处不在 一切皆可攻击

    在第四届世界智能大会(WIC)上,360董事长兼CEO周鸿祎谈到,网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。360董事长兼CEO 周鸿祎过去一年,针对关键基础设施的攻击此起彼伏:3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫

  • 男子连续吃了十年免费外卖苦不堪言:或订餐系统漏洞所致

    让你免费吃10年的“霸王餐”你会很痛苦吗?据外媒报道称,一位比利时人在过去十年里的生活,从来没有真正下过订单,但是他却天天都有免费的外卖吃,这让他痛苦不已。报道中提到,

  • 女子薅300万羊毛 多个平台堵上航空延误险漏洞:不乘坐不理赔

    近日,女子利用近900次航班延误骗保300万被抓一事引发热议。有网友认为这只是利用平台漏洞薅羊毛,警方今天发布通告称,该女子多次伪造航班延误证明等材料,虚构航班延误事实,骗取巨额保险金。

  • 2019 年热门开源项目中的漏洞增加了一倍以上

    ​RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

  • 喜讯|锦行科技荣获CNNVD“2019年度漏洞报送专项奖”

    2020 年 4 月 10 日,国家信息安全漏洞库(CNNVD)对现有 103 家技术支撑单位 2019 年度支撑贡献情况进行了总结评价,并评选出 22 家贡献突出的技术支撑单位进行表彰,锦行科技作为中国国家信息安全漏洞库(CNNVD)的二级技术支撑单位荣获“CNNVD2019 年度漏洞报送专项奖”,此次仅有 5 家企业获得该项殊荣。 “漏洞”不可不知的三大风险 漏洞,尤其是高危漏洞,会使政府、门户、电商和银行等网站面临严重安全威胁,一旦补丁绕过漏洞可

  • 27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了

    6 月 1 日,有报道称,印度开发者 Bhavuk Jain 向苹果安全团队报告了 Sign in with Apple(通过 Apple 登录)中存在一个零日漏洞,它允许攻击者远程劫持任意用户账户,影响严重。为此苹果向 Jain 支付了十万美元的巨额赏金。

  • 鲲鹏服务器与华为FusionServer Pro入围中国移动2020年PC服务器集采

    近日,中国移动 2020 年PC服务器集采项目中标候选人公示,鲲鹏服务器与华为x86 服务器全面入围。本次招标总规模 138272 台,华为中标 41312 台,中标份额近30%。基于鲲鹏处理器的服务器中标达 19563 台,其中中移系统集成(H3C) 13475 台,华为TaiShan服务器 6088 台,在鲲鹏所参与的标段中占比超过67%。本次鲲鹏服务器全面覆盖计算型、均衡型和存储型等服务器类型,将广泛用于中国移动IT云及移动云的建设,为中国移动“5G+”计划

  • 外媒:英伟达AMD服务器芯片销量正在增加

    【TechWeb】6月30日消息,据国外媒体报道,数据中心、云计算等领域的需求,也带动了服务器销量的增长,进而也拉升了服务器相关芯片销量的提升。外媒在最新的报道中就表示,英伟达、AMD这两大厂商服务器芯片的销量,正在增加,他们对未来也非常乐观。英伟达服务器相关芯片的业绩,在他们的财报中体现在数据中心这一业务上,这一业务2020财年的营收为29.83亿美元,在英伟达营收中所占的比重,由上一财年的25%提升到了27.4%。而在截?

  • 周杰伦新单曲《Mojito》导致QQ音乐服务器崩溃

    DoNews 6月12日消息(记者 刘文轩)今天凌晨,周杰伦最新单曲《Mojito》在QQ音乐、酷狗音乐、酷我音乐上线。上线后不久,QQ音乐服务器似乎开始出现崩溃的情况,有用户在QQ音乐官方微博下留言反馈了这一情况。从用户发布的截图可以看出,用户在付费购买这张单曲的时候,会被提示“购买过程中由于网络异常导致失败,系统未扣费,请尝试重新购买”。这并不是周杰伦第一次把QQ音乐搞到崩溃,早在去年9月,周杰伦的单曲《说好不哭》上线

  • 2个月构建一个Go服务器,他通过众筹获得14万元

    Kaya.gs是使用Go语言构建的一个服务器,它的创始人Gabriel Benmergui仅用 2 个月的时间就完成该产品的构建及启动,并在随后几个月的时间内容通过众筹活动筹集了 2 万美元。然而,投入运行 1 年后,Kaya.gs就被迫关闭了。

  • 任天堂最新声明:目前有30万账号遭黑客入侵

    在过去的几个月里,任天堂被黑客入侵的用户账户数量几乎翻了一番。这家日本游戏巨头最初表示,有 16 万个任天堂账户泄露,暴露的用户信息包括账户所有者的姓名、电子邮件地址、出生日期和国籍等等。

  • 感天动地却终究没法感动你!买199台服务器也没能让一个土豪脱单

    从前有一个年轻的土豪,他喜欢看直播,看美女,大学没读完就在家天天刷DOUYIN,家里怕他出去调皮。。这一天,他突然觉得无聊了,觉得这样每天打赏下去,就算不会坐吃山空,也会要么被主播害死,要么被老爸打死。于是他想做点什么正经事情了。他想多认识年轻漂亮的女孩,他渴望交友,于是他想做个交友的APP。比如MOMO这样的。做个APP,需要办执照,注册公司,办ICP,等等。他找来了平时的酒肉朋友,朋友告他除了办这些证照外,还需?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议