nginx安全问题致使服务器易遭受dos

最新推荐文章于 2022-06-15 15:16:37 发布
最新推荐文章于 2022-06-15 15:16:37 发布
阅读量122 收藏
点赞数
文章标签: 运维 操作系统
原文链接:http://blog.51cto.com/14071176/2316236
版权

据外媒报道,近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS 。而导致安全问题的漏洞存在于 HTTP/2 MP4 模块中。nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题。
被发现的安全问题有一种这样的情况 —— 允许潜在的hacker触发拒绝服务(DoS)状态并访问敏感的信息。
安全问题:
①、在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议。
此外,如果在配置文件中使用"listen"指令的"http2"选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。”
hacker可以利用上述两个问题,发送特制的 HTTP/2 请求包,利用该nginx漏洞造成过多的CPU使用和内存使用,最终触发 DoS 状态。
所有运行未打上补丁的 nginx服务器都容易受到 DoS 。
②、安全问题(CVE-2018-16845)会影响 MP4 模块,使得hacker在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。
(CVE-2018-16845)mp4模块安全问题仅影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。
安全建议:
HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本
MP4 模块安全问题影响运行 nginx 1.0.7, 1.1.3 及更高版本的服务器。
为缓解这两个安全问题,服务器管理员必须将其 nginx 升级到 1.14.1 stable 或1.15.6 主线版本。
目前,Shodan 搜索显示超过 1400 万台服务器运行未包含修复补丁的 nginx 版本(更确切地说是 14,036,690 台),仅有 6992 台服务器打上了安全补丁。

转载于:https://blog.51cto.com/14071176/2316236

weixin_34221773
关注
使用openEuler系统 搭建Nginx服务器
互联网老辛
12-27 2710
使用openEuler系统搭建
服务器中毒了,无法登陆,开启拷贝恢复之路
const_qiu的专栏
03-25 586
服务器中毒了,无法登陆,开启拷贝恢复之路 如果不太想看那么多废话,可以直接跳第10点看解决方案 首先,不得不说,这是一个悲伤的故事。客户几年前的一个项目,开发都找不到人了,这几天突然反馈小程序打不开,后台系统也打不开。然后找到我,开始排查。 使用的是腾讯云服务器,登录控制台后,检查了一下cpu和内存状态,发现近期几乎都是99+%,怀疑是被攻击了 系统是centos7.2,尝试通过ssh 22端口远程访问服务器,一直提示超时 检查安全组,发现端口全部处于开放状态,这~简直就是裸奔呀 先简单配置了下安全组,仅
Nginx中木马解决方法
weixin_34152820的博客
11-15 1302
今天偶然看到网上一篇处理Nginx网站中木马的解决方法,觉得还可以,于是转载下来作为将来不备之需。 导读: 服务器突然负载比平常高出了50%,经过长时间分析发现原来是黑客利用nginx的一个漏洞,通过图片上传了含有代码的图片,然后调用图片使用post传入代码,生成一个含有推广链接代码的php可执行文件,代码在调用时需要多次解密,因此直接导致负载升高...
一次Linux服务器被入侵和删除木马程序的经历
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
网站被黑中毒WebShell木马的解决方案
热门推荐
黄翔的专栏
02-13 2万+
收到客户的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了,数据库的服务也干掉了,然后我去看了下,发现网站目录下面被上传了大量的asp、php,htm的页面,里面的目录也有黑客上传了自己的目录,浏览哪些defalut.asp等方面的页面,就是黑客植入的页面,那要是被用户看见了
Nginx高性能Web服务器详解(完整版)pdf下载
09-21
3. **反向代理**:Nginx可以作为反向代理服务器,将客户端请求转发到后端的Web应用服务器,隐藏了后端服务器的真实结构,提高了系统的可用性和安全性。 4. **负载均衡**:通过Nginx的负载均衡策略,可以将来自...
Nginx搭建文件下载服务器
wd520521的博客
06-15 7745
1、修改配置文件: 2、修改好配置文件后,创建相对应的目录3、重启nginx,访问页面http://localhost:80/注意:如果访问页面报403的错误,这个是因为权限的问题,首先这里我们修改了启动nginx的用户为root,root的最高权限账户,所以不存在用户权限的问题,那么这里的权限问题就是SELINUX导致的,把它禁用了就可以了。方法是修改配置文件"/etc/selinux/config",如下:A服务器访问B服务器目录下的文件1、两台服务器都需要安装nginx,且nginx配置如下:A服
Nginx作为静态资源服务器
HuangMingJun95的博客
03-11 5601
直接上配置文件 1、 配置文件第一行定义nginx运行的用户或者用户组,默认是注释掉的且为nobody,此处必须配置成root,否则容报错,指定root用户,访问路径随便,其他用户(如nginx,www)访问路径就不可以在/root下. 2、监听端口自定义,尽量不与别的端口发生冲突,这里改为8081 3、server_name 服务器地址,即部署nginx服务器的地址 4、location /video 代理的文件夹名称为video 后面的 root /home:设置主目录的相对路径为 /ho.
怎么用nginx搭建文件服务器,使用nginx搭建简单文件服务器
weixin_30722591的博客
08-03 3582
最近再做一个博客,本想使用fastdfs标准的文件存储服务器,但考虑到资源占用问题,且使用nginx比较快速,且效果不差。于是采用ngixn搭建。nginx搭建文件服务器,本质上就是nginx的静态文件访问配置。安装nginxmac: brew install nginxwindows : 直接下载解压就行。配置文件路径对nginx.conf进行配置,(mac的brew安装后配置文件在/usr/l...
导致服务器中毒”的几种行为
kf305的博客
12-06 748
**数据中心在为用户提供服务器空间和网络服务时,往往也会为用户提供日常维护服务。用户在服务器运行使用中会突然就发现自己的服务器存在“中毒”和疑似“中毒”的现象。今天我们就来看看以下几种容导致服务器中毒的行为。 源程序漏洞** 源程序漏洞的严重性;目前互联网中有80%以上的网站程序都来自网络下载;这样建站会省去很多的时间,也很方便;公开的源代码存在一定的安全隐患;做网站的设计师不可能把所有的文件打...
服务器集体中毒事件 xmrig trace 挖矿病毒
枫小秋 的博客
01-05 6809
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于“挖矿”,随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现。事前我们在服务器的远程登录上限制了只允许VPN+堡垒机登录,对服务器的各方面性能、所有人员的风险操作以及可能通过web渗透的异常登录和执行行为均有监控和告警,但这次在服务器监控和安全监控中我们却未找到任何端倪。 发生这次事件...
windows7及以上系统千万别用nginx做代理,性能不升反降
Moonbow
05-24 1986
上周末在家闲的没事干,突然想对nginx做个性能测试,看看到底比tomcat快多少.. 然而...结果让我出乎意料的大吃一斤....竟然快了-200%.... 注意是前面有个负号.. 当时的测试是100个线程*100次请求 大概数据是这样的,平均响应tomcat是28ms左右,nginx是80ms左右... 然后百思不得其解...故找了个QQ群交流了一下...
Windows Server 2016 Nginx 安装配置详细图文教程
韩利巍
07-18 1万+
1、下载Nginx 官网地址:http://nginx.org/ 下载地址:http://nginx.org/en/download.html   2、下载Windows Service Wrapper 官网地址:https://github.com/kohsuke/winsw/ 下载地址:http://repo.jenkins-ci.org/releases/com/sun/winsw...
windows下的nginx踩过的坑
bingbingjia的博客
08-04 796
前几天,我们这边需要搞一个项目。平时是线上的,访问可以直接通过线上的地址,很是方便。这不是一个VPN就可以搞定的事情吗?但是甲方爸爸想要做一个单机版的demo。。。what?页面全是模拟数据,在自己电脑上就可以看到效果的。但是vue打包之后的跳转路径,直接访问本地资源是不可行的。难道这是个无解的问题?真是让人头秃。。。 问题来了:实现本地上三个项目的链接跳转。 如果直接跳转,路径是不正确的,如果加上http,地址栏就会少一个:,这是个什么鬼? 最后实在没办法了,求公司的大佬指了一条明路。在此,把这个明.
apache 拒绝服务(DoS)漏洞警告修复方法
Spring.yu的专栏
08-26 3919
Apache项目日前发布警告:发现一个Apache http server的拒绝服务(DoS)漏洞,该漏洞可让攻击者轻松地让Apache软件拒绝服务。Apache指出,攻击工具正在坊间广泛流传,并且已经留意到一些活跃分子。 漏洞影响到了Apache的所有版本。该攻击能够在远
Nginx漏洞总结
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
提升Nginx安全防护:20步详解Linux服务器配置
本文将详细介绍如何在Linux或UNIX系统上打造一个安全Nginx Web服务器,重点关注以下几个关键步骤: 1. **理解基础配置**: Nginx的配置文件位于`/usr/local/nginx/conf/nginx.conf`,这是主配置文件,包含了基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值