nginx爆出新漏洞 最低限度可造成DDos攻击

最新推荐文章于 2024-06-07 21:47:52 发布
最新推荐文章于 2024-06-07 21:47:52 发布
阅读量90 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/tonykan/p/3505616.html
版权

5月9日消息:国内某安全厂商称HTTP代理服务器nginx爆出远程栈缓冲区溢出漏洞,攻击者利用此漏洞可能造成栈溢出,从而执行任意代码,最低限度可造成拒绝服务攻击。目前,官方已经发布安全公告以及相应补丁,提醒广大站长及时修补此漏洞。

nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。其中,nginx 1.3.9-1.4.0版本文件http/ngx_http_parse.c代码中的ngx_http_parse_chunked()函数在对 chunked的长度进行解析时未考虑到该值为负数的情况,导致后续发生基于栈的缓冲区溢出。远程攻击者无需认证即可利用此漏造成nginx拒绝服务,甚 至执行任意代码。

解决方法:

建议站长升级到nginx 1.4.1或nginx 1.5.0。

但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:

* 在nginx配置文件中的每个server{}块中使用如下配置

if ($http_transfer_encoding ~* chunked) {

return 444;

}

未受影响版本:

nginx 1.5.0

nginx 1.4.1

官方公告和补丁:

链接:http://nginx.org/en/security_advisories.html

源码补丁下载:http://nginx.org/download/patch.2013.chunked.txt

DDOS攻击确定很可怕,对于中小网站来说,面对大规模DDOS攻击,可能即意味着噩梦的开始,本次nginx漏洞爆出,无疑会又有很多网站服务器 因此沦为肉鸡,加速乐强烈建议使用nginx的网站及时升级,避免由受害者成为施害着。同时加速乐庞大的云防火墙集群严正以待随时应对可能发生的大规模 DDOS攻击。

===

本文内容来自微信公众账号:加速乐

微信ID:jiasule

“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

转载于:https://www.cnblogs.com/tonykan/p/3505616.html

weixin_30765577
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻击者利用漏洞发动DDoS攻击,3万台GitLab服务器仍未修补
super111t的博客
11-05 775
GitLab服务器漏洞被利用
使用NginxNginx Plus抵御DDOS攻击的方法
01-20
DDOS 是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受的请求或变得很慢...
Nginx 配置防护 缓慢的 HTTP拒绝服务攻击+点击劫持:X-Frame-Options未配置
tonyhi6的博客
06-07 875
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。1 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击。三 点击劫持:X-Frame-Options未配置。2 再次测试,服务器查看资源使用情况。1 修改nginx配置文件。二 修改nginx配置。
常见的系统漏洞安全扫描修复总结归纳
LuoWW777的博客
08-02 1463
一、系统部分 这里主要是以Linux系统的修复方案为主,针对政府这种扫描检查有这种严苛要求的使用. 1.1 提示内核版本过低,不符合要求,需要升级整改 配置说明 基本包安装 实施操作 yum -y install vixie-cron ntp openssh-clients traceroute bind-utils tcptraceroute gcc gcc-c++ autoconf automake make iftop mtr 选项级别 必选 # 查看内核版本,并更内核版
Nginx解决Http慢攻击(Slow HTTP Attack)
01-05 3353
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。瘫痪目标服务器。
[渗透]缓慢的HTTP拒绝服务攻击原理、利用和防范
Tastill的博客
08-18 973
参考:https://blog.csdn.net/alex_bean/article/details/87626834
Nginx防御DDOS攻击的配置方法教程
09-30
本文将详细介绍如何通过Nginx的配置来防御DDoS攻击。 首先,DDoS攻击分为四层流量攻击和七层应用攻击。四层攻击主要针对网络层的带宽,而七层攻击则针对应用程序的处理能力。Nginx作为应用服务器,主要关注七层防御...
NGINX版本升级漏洞修复
最新发布
07-15
#把的可执行文件nginx复制到nginx目录对应位置 cp -R -f /opt/upgrade_nginx/nginx /usr/local/nginx/sbin/ cp -R -f /opt/upgrade_nginx/nginx.sh /usr/local/nginx/sbin/ #给可执行文件nginx添加可执行权限 cd ...
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
配置Nginx实现简单防御cc攻击
01-11
ddos攻击:分布式拒绝服务攻击,就是利用大量肉鸡或伪造IP,发起大量的服务器请求,最后导致服务器瘫痪的攻击。 cc攻击:类似于ddos攻击,不过它的特点是主要是发起大量页面请求,所以流量不大,但是却能导致页面...
Nginx漏洞修复_检测到目标主机可能存在缓慢的http拒绝服务攻击(1)
2401_83739660的博客
04-18 822
Nginx的配置文件中的 server 标签内增加一下配置。1、在Nginx配置文件的server 标签中增加以下参数。1、在Nginx配置文件的http标签中增加以下参数。
nginx遇到的异常和解决方案
fulai0_0的专栏
01-11 815
配置中,写的是服务器的ip(例如:192.168.1.5),将本地访问的ip改成127.0.0.1(待观察)情况:配置nginx负载均衡,运行一段时间后,访问速度变慢,并且ping服务器的时候,访问远大于1ms。重启nginx,每次重启后,访问速度恢复正常。
缓慢的HTTP拒绝服务攻击漏洞验证
qq_43017796的博客
04-03 4114
测试工具 slowhttptest 安装方法一: 1 安装openssl和libssl-dev sudo apt-get install openssl sudo apt-get install libssl-dev 安装libssl如果失败,执行apt-get update,然后再执行sudo apt-get install libssl-dev 2 安装slowhttptest g...
nginx漏洞复现(包含nginx的介绍,配置,访问控制等内容),是较全的nginx学习(1)
2401_83739727的博客
04-18 645
解释下:比如访问ip/index.htmls不出意外肯定会正常访问,那么我们输入ip/test/htmls按照第二个匹配来说应该是拒绝的,但是因为上面说的只要匹配成功就不会继续匹配后面定义的正则location,所有ip/test/htmls也会访问成功。那么如果想ip/index.htmls访问成功,而ip/test/htmls访问不成功,我们只需要让这两个location交换位置就行。
Nginx心脏出血漏洞整改脚本【原创】
运维仙人
10-12 860
nginx心脏出血漏洞整改要查看nginx用到的OpenSSL版本,此实例用的openssl-1.0.2o版本。 一般nginx的安装路径是在/usr/local/nginx,进入该目录,执行nginx -V可以看到版本信息。 root@Test-88 ~]# cat heartbleed.sh #!/bin/bash RED_COLOR=’\E[1;31m’ #红 GREEN_COLOR=’\...
nginx解析漏洞,配置不当,目录遍历漏洞环境搭建、漏洞复现
diecai2192的博客
12-01 409
nginx解析漏洞,配置不当,目录遍历漏洞复现 1.Ubuntu14.04安装nginx-php5-fpm 安装了nginx,需要安装以下依赖 sudo apt-get install libpcre3 libpcre3-dev sudo apt-get install zlib1g.dev sudo apt-get install libssl-dev 安装php: apt-get i...
Nginx实战(十)Nginx漏洞修复
ouyida3的专栏
02-07 8812
文章目录本章导读本章要点Nginx HTTP/2和mp4模块拒绝服务漏洞描述解决方案解释Clickjacking(点击劫持)描述解决方案nginx的解决方法加了x-frame-options后如何验证Nginx range filter模块数字错误漏洞(CVE-2017-7529)1、漏洞描述2、影响程度3 、漏洞原理4、 漏桶解决nginx版本泄露 本章导读 这么快第十章了,这个阶段是最后一章...
linux nginx漏洞修复,nginx-1.14.1 和 nginx-1.15.6 发布,修复HTTP/2和MP4模块中的漏洞
weixin_27605509的博客
05-15 1995
nginx-1.14.1 稳定版和nginx-1.15.6主线版本已经发布,修复了HTTP/2(CVE-2018-16843,CVE-2018-16844)和MP4模块(CVE-2018-16845)中的漏洞nginx 1.14.1更改*)安全性:使用HTTP/2时,客户端可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。*)安全性:使用ng...
nginx如何防范ddos攻击
04-25
nginx可以通过以下方式来防范DDoS攻击: 1. 使用nginx的http_limit_conn模块来限制单个IP的连接数。这个模块可以设置每个IP允许的最大连接数,超过限制的连接将被拒绝。这样可以有效地防止CC攻击。配置方法如下[^1]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值