首页 > 动态 > 关键词  > 黑客最新资讯  > 正文

nginx 0day漏洞 上传图片可入侵百万台服务器

2010-05-21 08:52 · 稿源:baoz.net

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!

根据Netcraft的统计,直到2010年4月,全球一共有1300万台服务器运行着nginx程序;非常保守的估计,其中至少有600万台服务器运行着nginx并启用了php支持;继续保守的估计,其中有1/6,也就是100万台服务器允许用户上传图片。有图有真相。

没错,重申一次,由于nginx有漏洞,这100万台服务器可能通过上传图片的方法被黑客轻易的植入木马。植入木马的过程也非常简单,就是把木马改成图片上传就是了,由于危害非常大,就不说细节了。

说了那么多,我想大家对80sec这个顶级安全团队比较好奇吧,素包子简单介绍一下。

80sec团队由一群年轻、充满活力、充满体力、充满激情、富有创造力的未婚dota男组成,他们均在各大互联网公司从事信息安全工作,他们的口号是know it then hack it,素包子非常认同这个观点:“我们只要非常熟悉一个事物,就有可能客观的发现它的不足之处,同时我们也能的发现该事物的优点”。

下面介绍一下他们的丰功伟绩,他们曾发现IIS、IE、FireFox、Maxthon、世界之窗、PHPWind、DeDeCMS、QQ mail、QuarkMail、EXTMail等软件的漏洞,可见硕果累累。

既然介绍了80sec,就不得不介绍另外一个非常专注WEB安全的顶级安全团队80vul,该团队同样也是由80后的男童鞋组成(90后表示压力很大:p),他们也发现了大量WEB APP的安全漏洞,例如IE、Gmail、wordpress、PHPWind、DISCUZ、MYBB等。

据说黑客已经在行动了;安全人员、系统管理人员、行动起来吧,赶紧修复该漏洞;最好不要有侥幸心理,否则下一个被黑客入侵的可能就是你的网站。根据80sec安全公告的描述,临时修复方法如下,可3选其一。

1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。

2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。

文章来源:素包子的网站 https://baoz.net/nginx-0day-by-80sec/

举报

  • 相关推荐
  • AIbase MCP服务库上线:集成服务器、客户端、调试、案例教程等服务

    在当今数字化时代,人工智能技术正以前所未有的速度发展,深刻地改变着我们的生活和工作方式。而要充分发挥AI的强大能力,离不开高效的工具和服务支持。今天,就让我们来了解一下一个专注于MCP(Model Context Protocol)服务的优质平台 —— AIbase(www.aibase.cn)。 AIbase平台(https://mcp.aibase.cn/)作为一个精选全球优质MCP服务器的集合平台,为AI应用开发者和爱好者提供了丰富的�

  • 朋友圈评论可以发表情包和图片了 客服回应:小范围内测

    近日,微信对朋友圈评论功能进行了重要更新,支持用户在评论中发表情包和图片,这一创新举措迅速引发了用户的广泛关注和讨论。据腾讯客服官方确认,微信更新至8.0. 60 版本后,朋友圈评论区将新增表情包和图片回复功能,为用户带来更加丰富的互动体验。

  • 国内MCP服务平台推荐!aibase.cn上线MCP服务器集合平台

    在当今数字化时代,人工智能技术正以前所未有的速度发展,深刻地改变着我们的生活和工作方式。而要充分发挥AI的强大能力,离不开高效的工具和服务支持。今天,就让我们来了解一下一个专注于MCP(Model Context Protocol)服务的优质平台 —— AIbase。 AIbase(<https://mcp.aibase.cn/>)是一个精选全球优质MCP服务器的集合平台。它就像一个精心打造的资源宝库,一站式整合了海�

  • 蔚来NIO Day 2025定档今秋!第三代ES8同步首发

    蔚来宣布NIO Day 2025将改在秋季举办,并将同步上市第三代ES8。 这一决定源于用户对申办方式和举办时间的建议,以及希望活动能更好地配合产品上市节奏。 蔚来汽车表示,秋季气候宜人,更适宜举办大型聚会,同时提供了更多场地选择的可能性,避免了年底节假日的冲突。 蔚来表示,这次调整是一次新的尝试,旨在提升用户体验。 由于时间调整导致筹备周期紧张和资源协

  • AI日报:腾讯元宝升级一句话搜索图片视频;微信支付MCP上线;谷歌在全球推出 Veo 3

    【AI日报】今日AI领域重要动态:1)腾讯元宝升级,支持一句话搜索呈现图文视频;2)微信支付MCP上线,AI与支付结合开启商业新纪元;3)谷歌Veo3视频生成模型向Pro/Ultra会员开放,新增"照片生成视频"功能;4)开源DeepSeek R1增强版推理效率提升200%;5)美图WHEE推出"一句话修图"功能;6)芯片公司Ambiq申请美国IPO,受益生成式AI需求;7)昆仑万维开源奖励模型Skywork-Reward-V2;8)Kyutai发布超低延迟开源语音合成技术;9)Figma拟以200亿美元估值登陆纽交所;10)字节跳动开源Trae-Agent智能开发工具。

  • LiblibAI 重磅发布「星流 Agent」:中文语义 + 图片视频3D全能生成,中国最强设计 Agent

    LiblibAI推出Lovart中文版"星流Agent",这是一款专为中国市场深度优化的AI设计工具。该产品在保留Lovart全球版"生成-编辑-排版-交付"全链路能力基础上,针对中文语义、国风审美和本土使用场景进行了全面重构。星流Agent支持从创意构思到设计交付的全流程自动化,可处理平面设计、视频生成和3D建模等跨模态创作,内置符合中国文化的视觉风格库。该产品的推出标�

  • AI日报:即梦灰测图片3.1模型;ElevenLabs推出AI语音助理11ai;百度发布多智能体协同AI IDE

    本文介绍了AI领域多项最新进展:1)即梦灰测图片3.1模型增强电影感和艺术风格;2)ElevenLabs推出语音助手11ai;3)文心快码发布多模态AI开发工具Comate AI IDE;4)苹果采用"归一化流"技术开发新型AI生图模型;5)Grok将推出整合多类型文件管理功能;6)OmniGen2开源多模态模型重塑AI应用场景;7)ScholAI革新学术研究工具;8)豆包推出可视化AI编程功能;9)饿了么推出骑手AI助手"小饿";10)张雪峰认为AI可替代部分教育工作;11)微软发布3.3亿参数小模型Mu。这些创新展示了AI技术在各领域的快速发展和应用潜力。

  • 一片叶子卖8000?从摆地摊到年销百万,他卖爆“会呼吸的壁画”

    “今年卖2000,明年卖200,这在我们这一行太常见了。” “一片叶子卖8000,你觉得夸张?一点也不,确实是真实存在的。” 思考了一会,老严又补充,“你要听数字那肯定有,还都是真实成交。但虚头巴脑报几万块钱,我有10盆的时候也许能卖5万一盆,有50盆的时候,可就卖不了5万了。” 在植物圈,植友们喜欢叫他老严,因为自觉就是个“种花的农民”,老严对“严总”之�

  • AI日报:通义千问3大模型全球爆火;即梦图片3.0智能参考全量上线;智谱AI企业级超级助手Agent CoCo上线

    【AI日报】今日AI领域重要动态:1.通义千问3大模型全球下载量超1250万,衍生模型13万+;2.即梦图片3.0上线,AI设计进入"零门槛"时代;3.智谱AI发布企业级超级助手Agent CoCo;4.百度推出金融行业大模型"千帆慧金";5.小红书开源首个大模型dots.llm1,含1420亿参数;6.Hugging Face开源LeRobot项目,降低机器人研发门槛;7.ChatGPT语音功能升级,支持更自然对话翻译;8.Google Gemini应用下载量超ChatGPT但活跃度不足;9.轻量级文档解析模型MonkeyOCR表现优异;10.Google Veo3推出高速视频生成模式;11.Google调整AI Studio政策,限制Gemini2.5Pro免费访问。

  • 中公教育&天猫图书联名打造准化备考方案 重塑行业服务范式

    6月27日,中公教育与天猫图书联合推出公务员考试和教师资格考试定制化备考套装。活动期间(6月27日-7月31日)享10%直降优惠及专属赠品,产品覆盖教材、课程、服务全链条。重点产品包括:2025新版教资笔试套装(含7-8册图书+200+课时课程)、2026国考《行测必做5000题》新增1250道真题、四维架构国考书课全程班(378课时+60节时政直播课)。双方通过"产品定制+服务整合"模式,构建标准化备考体系,推动职业教育从价格优惠向服务升级转型。