Nginx——防止webshell跨目录

最新推荐文章于 2021-05-13 23:02:42 发布
最新推荐文章于 2021-05-13 23:02:42 发布
阅读量600 收藏
点赞数
分类专栏: 服务器 文章标签: nginx php server unix include 脚本

nginx为多用户多域名提供虚拟主机一直都是个问题.在php的执行上是采用fastcgi的方式运行的.php在fastcgi模式下虽然效率有很多提升,但是也暴露出一个问题,就是安全性问题.php以fastcgi方式运行一般是采用tcp或者socket方式,这两种方式本质上是一样的. 都是以同一个用户权限执行,这样在多用户多域名多网站的情况下就变得很糟糕,很容易形成跨站.被黑客利用的话,他就可以遍历整台服务器中php执行权限能 访问的地方,也就是多个网站的目录.原因就是因为fastcgi方式执行的php对每个目录指定的open_basedir是一样的.

下面简单介绍一种nginx下防止多站点之间跨目录访问的方法:对每个站点采用不同的fastcgi端口进行处理.

  1.在nginx.conf里把每个虚拟主机站点请求端口给区别开

我的第一个站点配置

01server
02{
03listen 80;
04server_name www.itdhz.com;
05index index.html index.htm index.php;
06root /home/wwwroot/www;
07#limit_conn crawler 20;
08 
09location ~ .*.(php|php5)?$
10{
11#fastcgi_pass unix:/tmp/php-cgi.sock;
12fastcgi_pass 127.0.0.1:9000;
13fastcgi_index index.php;
14include fcgi.conf;
15}
16}

我的另一个站点配置

01server
02{
03listen 80;
04server_name soft.itdhz.com;
05index index.html index.htm index.php;
06root /home/wwwroot/soft;
07#limit_conn crawler 20;
08 
09location ~ .*.(php|php5)?$
10{
11#fastcgi_pass unix:/tmp/php-cgi.sock;
12fastcgi_pass 127.0.0.1:9001;
13fastcgi_index index.php;
14include fcgi.conf;
15}
16}

这里需要注意的是,fastcgi_pass unix:/tmp/php-cgi.sock 和 fastcgi_pass 127.0.0.1:9001 这是两种不同的处理方式,同时只能使用其中的一种,这里我们需要用到的是后面一种,把前面的注销掉。

  2.为每个站点建一个conf,并进行配置

1cp /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/www.conf
2cp /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/soft.conf

在www.conf中找到php_defines,添加内容
<value name="”open_basedir”">/home/wwwroot/www:/tmp:/var/tmp</value>

在www.conf中找到listen_address,修改内容为
<value name=”listen_address”>127.0.0.1:9000</value>

在soft.conf中找到php_defines,添加内容
<value name="”open_basedir”">/home/wwwroot/soft:/tmp:/var/tmp</value>

在soft.conf中找到listen_address,修改内容为
<value name=”listen_address”>127.0.0.1:9001</value>

这里注意一下端口号,别设置错了,要和nginx.conf里面对应。

  3.修改 /usr/local/php/sbin/php-fpm启动脚本

默认的php-fpm(部分代码)是下面这样的:

1php_fpm_BIN=/usr/local/php/bin/php-cgi
2php_fpm_CONF=/usr/local/php/etc/php-fpm.conf
3php_fpm_PID=/usr/local/php/logs/php-fpm.pid
4php_opts="--fpm-config $php_fpm_CONF"
5case $1 in
6start)
7$php_fpm_BIN --fpm $php_opts

我们这里要加载两个配置文件,修改如下:

01php_fpm_BIN=/usr/local/php/bin/php-cgi
02php_fpm_CONF1=/usr/local/php/etc/www.conf
03php_fpm_CONF2=/usr/local/php/etc/soft.conf
04php_fpm_PID=/usr/local/php/logs/php-fpm.pid
05php_opts1="--fpm-config $php_fpm_CONF1"
06php_opts2="--fpm-config $php_fpm_CONF2"
07case $1 in
08start)
09$php_fpm_BIN --fpm $php_opts1
10$php_fpm_BIN --fpm $php_opts2

  4.配置完成了,启动服务

view source
print ?
1/usr/local/php/sbin/php-fpm start
2/usr/local/nginx/sbin/nginx -s reload

开了9000 9001俩个不同的端口分开处理两个站点请求,两个php-cgi主进程加载不同的conf文件。 当然,启动之前记得conf里面的max_children,开启php-cgi子进程数,相应要减少一些,以免造成内存不足。

在写这篇文章的时候,我试了好几次都没有成功,主要原因是php-fpm启动脚本里面写错了。前面两步一般不会出问题,主要是第三步,如果启动不成功,多检查检查就会发现问题了。

lzpsnake
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx虚拟主机防webshell完美版
09-30
nginx虚拟主机防webshell完美版,使用nginx的朋友可以参考下。
nginx php 防止站,完美解决Nginx站(防WEBshell)的问题
weixin_32075603的博客
03-21 617
完美解决Nginx站(防WEBshell)的问题2012-3-28 王健宇 转载看了很多方法,试了一下这个最好用,需要更改php源程序后,重新编译php。在使用fpm方式安装时,打补丁过程中会修改php的文件,所以需要在打完fpm补丁后再修改php源程序。tarzxvfphp-5.2.14.tar.gzgzip-cdphp-5.2.14-fpm-0.5.14.diff.gz...
Nginx虚拟主机防Webshell安全检测程序完美版(图)
weixin_34107739的博客
05-25 177
我们先来看下nginx.conf server { listen 80; server_name www.a.com; index index.html index.htm index.php; root /data/htdocs/www.a.com/; #limit_conn crawler 20;...
nginx安全】nginx虚拟主机防webshell目录
红尘道,红尘练心
06-02 472
1.在nginx.conf里把每个虚拟主机站点请求端口给区别开   server { listen 80;server_name www.key0.cn;index index.html index.htm index.php;root /var/www/test; #limit_conn crawler 20; location ~ ...
记一次防范webshell实战
chenjing928的博客
08-30 1427
WebShell攻击的方式是这样的: 1.通过网站提供的上传入口,比如是上传图片的入口,上传时上传后缀为jps的图片 2.通过抓包工具抓包,修改上传的后缀为 .jsp或.php等,将实际内容更改为木马代码(比如创建一个用户赋予root权限) 3.上传成功后其实就成功了,可以通过创建的用户登录到你的服务器(其实这里我没太理解,查资料说需要菜刀将木马文件的路径写到菜刀上,然后就OK了,但这边的脚...
Nginx——安装详解
01-20
Nginx的安装需要四个依赖:gcc、pcre、zlib、openssl yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel ...安装nginx,进入nginx-1.14.2目录,执行如下命令 ./configure make make install
启用Nginx目录浏览功能的方法
09-30
3. 在Nginx中启用目录浏览,需要修改Nginx的配置文件。通常这个文件位于`/etc/nginx/nginx.conf`或`/etc/nginx/sites-available/default`等路径下,具体位置取决于安装和操作系统的不同。 4. 文章提到的配置指令`...
Nginx浏览器中打开目录浏览功能
09-30
与Apache等其他服务器软件不同,Nginx默认并不启用目录浏览功能,即用户无法直接通过浏览器列出服务器上的目录内容。为了实现这一功能,需要手动修改Nginx的配置文件。 目录浏览功能允许用户在浏览器中直接查看...
Nginx+PHPwebshell站,目录的安全设置,多种方式,适合php5.3以上
weixin_34161064的博客
04-15 253
Nginx+PHPwebshell站,目录的安全设置,多种方式,适合php5.3以上方法1:在Nginx配配置文件server{ }中加入:fastcgi_param PHP_ADMIN_VALUE “[参数名]=[值]“;例如:#fastcgi_param PHP_VALUE sessions.save_path=/home/www/sessions/fastcgi_...
NGINX安全防护之基于ngx_lua的web应用防火墙
weixin_34138056的博客
04-14 449
NGINX安全防护ngx_lua_waf安装说明文档作者github地址:https://github.com/loveshell/ngx_lua_waf转自作者说明文档:ngx_lua_waf是我一个基于ngx_lua的web应用防火墙。 代码很简单,开发初衷主要是使用简单,高性能和轻量级。 现在开源出来.其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起...
修改linux的shell限制,Nginx下解决WebShell访问限制问题
weixin_32334251的博客
05-13 225
直入主题公布修改方法wget http://www.php.net/get/php-5.2.10.tar.gz/from/this/mirrorwget http://php-fpm.org/downloads/php-5.2.10-fpm-0.5.13.diff.gztar zxvf php-5.2.10.tar.gzgzip -cd php-5.2.10-fpm-0.5.13.diff.gz ...
nginx虚拟主机防webshell 完美版
东杰书屋
09-26 1649
本文由DoDo原创我们先来看下nginx.conf  server  {    listen       80;    server_name  www.a.com;    index index.html index.htm index.php;    root  /data/htdocs/www.a.com/;    #limit_conn   crawler  20;   
nginx防止后门程序跳转目录
weixin_33724059的博客
12-17 347
为什么80%的码农都做不了架构师?>>> ...
php open_basedir绕过,PHP绕过open_basedir列目录的研究
weixin_34236572的博客
03-16 1045
首发drops:http://drops.wooyun.org/tips/3978 。 近期由于在开发自己的webshell,所以对PHP一些已有的漏洞进行了一定的研究,并且也自己发现了部分PHP存在的安全隐患。这篇文章我来与大家分享一下自己对于PHP中open_basedir绕过并列举目录的方法总结。 0x0首发drops:http://drops.wooyun.org/tips/3978 。近...
如何禁止PHP脚本目录
weixin_54963682的博客
03-14 569
如何禁止PHP脚本目录 前言 在一些渗透测试遇到的环境中,有的时候我们会发现shell所能访问的目录非常有限,可能只有当前网站的一个根路径,当我们需要从旁站拿目标站点的shell时往往被局限于此。这篇文章就是研究下php的防目录的一个安全配置。 现在网络上大部分php的环境是lamp或者lnmp,那么防止目录的方式大致分为两类:中间件的配置、php.ini的配置。本文将对这两种方法来进行讲解。 中间件 我们首先先从中间件的层面来看这个问题。 apache 阿帕奇是比较成熟的中间件,我们可以
php设置站,php配置防站、防目录安全
weixin_31180441的博客
03-09 830
php配置防站、防目录安全现在很多网站都是采用php建站,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对php程序配置防站、防目录等一些设置,可以有效的防止服务器上所有的php网站被恶意篡改。适用范围及演示系统适用范围:php5.3及以上版本演示系统:centos防站、防目录安全设置方法第1步:登录到linux系统...
webshell注入-防止DDos攻击-暴力破解root密码-自动劫持密码发送邮件
菜鸟、上路
08-27 5654
一、 webshell使用方法 1、 攻击思路 想要拿下一台主机A的权限: 1)了解一下这个服务器:端口,服务器版本,操作系统版本。找漏洞。 2)拿到对A有一定权限的身份。如果对方是一个WEB服务器,想办法上传webshell然后提权(利用对方的应用程序的漏洞) 3)传上去后,得到apache身份,提权 2、 webshell的使用方法 上传木马程序: 方法1:nginx解析漏洞。 把aa.ph...
设置nginx 防止上传恶意脚本
weixin_34242509的博客
07-19 849
nginx上也很简单,我们使用location。。如下:  复制代码 代码如下:   location ~ ^/upload/.*\.(php|php5)$  {  deny all;  }    其中upload换为你要设置的目录名字    这条规则的含义是匹配请求连接中开头是/upload/,中间匹配任意字符,结尾匹配.php或者.php5的页面,最后利用deny all...
nginx——moudle
最新发布
06-25
Nginx是一款流行的开源高性能Web服务器和反向代理服务器,它以其稳定性、高效性和模块化设计而闻名。Nginx模块(或称为Nginx插件)是其核心功能之外可扩展的部分,用于添加额外的功能或定制特定需求。Nginx模块系统允许开发者编写自定义代码,这些代码可以在运行时动态加载并集成到主服务器中,以实现以下功能: 1. **负载均衡**:如upstream模块,用于将请求分发到多个后端服务器,提高服务的可用性和性能。 2. **SSL/TLS支持**:如ssl模块,处理HTTPS连接,提供加密传输。 3. **文件系统操作**:如fastcgi、uwsgi或scgi模块,支持各种应用程序接口(如PHP、Python等)的动态内容处理。 4. **缓存加速**:如memcached或varnish模块,减少对后端服务器的压力,提高响应速度。 5. **访问控制**:如auth_basic模块,实现基本的HTTP认证。 6. **日志管理**:如log_format模块,定制化的日志输出格式。 每个模块都有其特定的功能和配置选项,开发者可以根据项目需求选择并配置合适的模块。要使用Nginx模块,通常要在server块或location块中启用它,并配置相关的参数。如果你对某个模块感兴趣,可以询问具体某个模块的作用,或者有关如何安装和配置模块的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值