j阻止banner泄露服务器信息,Nginx升级加固SSL/TLS协议信息泄露漏洞(CVE-2016-2183)和HTTP服务器的缺省banner漏洞...

最新推荐文章于 2023-09-02 18:26:20 发布
最新推荐文章于 2023-09-02 18:26:20 发布
阅读量496 收藏
点赞数
文章标签: j阻止banner泄露服务器信息

Nginx升级加固SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

漏洞说明

// 基于Nginx的https网站被扫描出SSL/TLS协议信息泄露漏洞(CVE-2016-2183),该漏洞是在安装Nginx时build的Openssl版本问题导致的漏洞,

// 需要重新编译安装Nginx并指定版本的Openssl(可以不升级系统的openssl,编译过程中只要指定新的openssl路径即可)。

加固方法和步骤

检查当前Nginx安装过程使用的openssl版本

[root@server ~]# nginx -V

nginx version: nginx/1.16.1

built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)

built with OpenSSL 1.0.2k-fips 26 Jan 2017

TLS SNI support enabled

下载新版本Openssl

cd /tmp

wget https://www.openssl.org/source/openssl-1.1.0k.tar.gz

tar zxvf openssl-1.1.0k.tar.gz -C /usr/local

下载安装源码Nginx

yum install -y gcc gcc-c++ openssl-devel pcre-devel make zlib-devel wget

wget http://nginx.org/download/nginx-1.14.2.tar.gz

cd /root/nginx-1.14.2

./configure --prefix=/usr/local/nginx1.14 --with-http_ssl_module --with-http_stub_status_module --with-openssl=/usr/local/openssl-1.1.0k

make && make install

我之前make时如果将openssl放到root目录可能会编译报错,/usr/local就没报错,没报错就不要改下面文件了

# 错误信息

/bin/sh: line 2: ./config: No such file or directory

make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127

make[1]: Leaving directory `/usr/local/src/nginx-1.9.9'

make: *** [build] Error 2

解决方法

# 打开nginx源文件下的/usr/local/src/nginx-1.9.9/auto/lib/openssl/conf文件:

vi /root/nginx-1.14.2/auto/lib/openssl/conf

# 找到以下代码,差不多三四十行

CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"

CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"

CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"

CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"

CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

# 修改成以下代码

CORE_INCS="$CORE_INCS $OPENSSL/include"

CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"

CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"

CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"

CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

验证Nginx使用Openssl版本

[root@JD sbin]# ./nginx -V

nginx version: nginx/1.14.2

built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)

built with OpenSSL 1.1.0k 28 May 2019

TLS SNI support enabled

configure arguments: --prefix=/usr/local/nginx1.14 --with-http_ssl_module --with-http_stub_status_module --with-openssl=/usr/local/openssl-1.1.0k

白汐牙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Liunx基线核查处理
子非鱼39938的博客
08-03 771
1.修改系统banner,避免泄漏操作系统信息: touch /etc/motd echo " Authorized users only. All activity may be monitored and reported " > /etc/motd echo " Authorized users only. All activity may be monitored and reported " > /etc/issue echo " Authorized users only.
apache缺省banner_Apache安全加固配置教程
weixin_39655049的博客
12-19 1395
1. 选择漏洞较少的apache版本,并打上安全补丁查看apache版本号:httpd -v然后在sebug上搜索该版本号有什么漏洞,可根据提示提升版本或者打上补丁2. 关闭一些不使用的模块及功能可在LoadModule前加#,来注释掉一些不使用的模块3. 隐藏banner信息ServerTokens OS  修改为:ServerTokens Prod (在出现错误页的时候不显示服务器操作系统的名...
Linux加固
mcmuyanga的博客
09-16 1396
加固方法大多数要用到root权限,比赛时是不会给root用户的,需要我们自己提权,给出两篇提权的文章 https://blog.csdn.net/devil8123665/article/details/108146676 https://blog.csdn.net/devil8123665/article/details/107485260 文章目录操作系统加固Apache加固 操作系统加固 开启防火墙 service iptables start 锁定系统中多余用户 执行命令–>cat /etc
6-4漏洞利用-SSH Banner信息获取
山兔的博客
07-03 1239
一般,我们ssh在22号端口运行探测完成之后,会出现banner信息,对应远程系统发行版本ubuntu,以及版本号 我们之前做了修改,所以他不会探测出远程系统的banner信息我们把它修改回来,然后再进行探测 ctrl+f,输入banner在这里,我们将 注释掉,保存,点击关闭 进行重启ssh服务,这样配置才会生效我们回到kali当中,重新探测 可以看到这个时候的banner信息出现不同 探测之后,就会出现对应的banner信息,我们的操作系统以及运行的版本号 metasploit是一个集成了漏洞开发以及利
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞升级OpenSSL到OpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞升级OpenSSL到OpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞升级OpenSSL到OpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
亲测好用.nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本,不存在漏洞 nginx-1.13.3 nginx1.13.3 安全稳定 nginx版本
nginx-服务器banner泄漏风险
u013008898的博客
02-19 665
【代码】nginx-服务器banner泄漏风险。
攻击者可通过获取服务器banner信息,[web安全原理分析]-SSRF漏洞入门
weixin_29534463的博客
08-12 938
SSRF漏洞SSRF漏洞SSRF意为服务端请求伪造(Server-Side Request Forge)。攻击者利用SSRF漏洞通过服务器发起伪造请求,就这样可以访问内网的数据,进行内网信息探测或者内网漏洞利用SSRF漏洞形成的原因是:应用程序存在可以从其他服务器获取数据的功能,但对服务器的地址没有做严格的过滤,导致应用程序可以访问任意的URL链接。攻击者通过精心构造URL连接,可以利用SSRF漏...
服务器系统及软件常见漏洞
runfeel
07-10 1859
最近由有一个什么事情,大家都懂。上头发了个加密传真,要求加强网络安全检查,于是乎所有服务器进行了大扫描,现整理一些常见漏洞... 漏洞名称 允许Traceroute探测 远端WWW服务支持TRACE请求 远端WWW服务提供了对WebDAV的支持 远端WEB服务器上存在/robots.txt文件 远端VNC服务正在运行 远端HTTP服务器类型和...
软件安全(三)--按F12服务器Banner信息暴露,会为为攻击者提供便利
qq_34946077的博客
03-14 1089
nginx解决:1.      解压tar 包( 若已经解压,则直接找到源码包(即解压包)操作;若已安装只需删除原安装文件即可,若原来安装在/usr/local/nginx下   使用命令  rm –rf /usr/local/nginx   即可重新编译安装nginx)tar -zxvf nginx.1.1.tar.gz   cd nginx.1.1-------------------安全问...
4.3、漏洞利用-SSH简介
c10udz的博客
09-12 2525
在ssh配置文件sshd_config中新增一行:DebianBanner no,可隐藏操作系统信息。Secure Shell Protocol(安全Shell协议)ssh服务的启动与关闭。
CentOS 7 在启用 SELinux 的环境下更新OpenSSH 9.0、OpenSSL 3.0.5、Kernel 5.4
puhxw4v的博客
09-18 306
CentOS 7 在启用 SELinux 的环境下更新OpenSSH 9.0、OpenSSL 3.0.5、Kernel 5.4
https加密协议全过程(结合全站文章,最简单直观的小白文)
最新发布
m0_58118986的博客
09-02 398
摘要算法能够把任意长度的数据"压缩"成固定长度、而且独一无二的"摘要"字符串,就好像是给这段数据生成了一个数字"指纹"。任意微小的数据差异,都可以生成完全不同的摘要。所以可以通过把明文信息的摘要和明文一起加密进行传输,数据传输到对方之后再进行解密,重新对数据进行摘要,再比对就能发现数据有没有被篡改。这样就保证了数据的完整性。
apache_openssl漏洞的利用及权限的提升
ncnynl的专栏
09-07 2147
apache_openssl漏洞的利用及权限的提升--nightcat转载请保持文章完整第一部分:获得shell.在packetstorm玩了一段时间,遇到有openssl-too-open.tar.gz这个exploit.现在看看软件包的描述:OpenSSL v0.9.6d and below remote exploit for Apache/mod_ssl servers whi
服务扫描获取 banner 信息的方法有哪些
热门推荐
发哥微课堂
11-24 1万+
0x00:简介 banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。 banner 信息获取的基础是在和目标建立链接后的,只有...
CVE-2016-2183修复影响https
08-19
根据引用所述,CVE-2016-2183是关于SSL/TLS协议信息泄露漏洞的修复。根据引用中给出的修复步骤,首先需要下载并安装一个稳定版本的openssl。然后,根据引用中的描述,需要升级nginx使用新版本的OpenSSL来修复这个漏洞。因此,修复CVE-2016-2183会对https产生影响,特别是与443端口相关的项目需要优先升级OpenSSL以确保安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本](https://download.csdn.net/download/qq_23663693/86737057)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2016-2183漏洞修复](https://blog.csdn.net/w184414332/article/details/126406154)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值