使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,管理员速修复!
测试方法:
Nginx的服务器上传图片访问图片地址,后面加上4shell.php
例如:<A href="http://up.2cto.com/Article/201005/20100528102421897.jpg/4shell.php
临时修补方法,可3选其一
1、设置php.ini的:
cgi.fix_pathinfo为0
重启php。最方便,但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下采用。