nginx 安全问题致使 1400 多万台服务器易遭受 DoS 攻击

最新推荐文章于 2023-01-16 12:09:23 发布
最新推荐文章于 2023-01-16 12:09:23 发布
阅读量205 收藏
点赞数
文章标签: 运维 操作系统
原文链接:https://yq.aliyun.com/articles/666605
版权

据外媒报道,近日 nginx 被爆出存在安全问题,有可能会致使 1400 多万台服务器易遭受 DoS 攻击。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。

nginx Web 服务器于11月6日发布了新版本,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的攻击者触发拒绝服务(DoS)状态并访问敏感的信息。

“在 nginx HTTP/2 实现中发现了两个安全问题,这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”,详见 nginx 的安全建议

此外,“如果在配置文件中使用"listen"指令的"http2"选项,则问题会影响使用 ngx_http_v2_module 编译的 nginx(默认情况下不编译)。”

为了利用上述两个问题,攻击者可以发送特制的 HTTP/2 请求,这将导致过多的CPU使用和内存使用,最终触发 DoS 状态。

所有运行未打上补丁的 nginx 服务器都容易受到 DoS 攻击。

第三个安全问题(CVE-2018-16845)会影响 MP4 模块,使得攻击者在恶意制作的 MP4 文件的帮助下,在 worker 进程中导致出现无限循环、崩溃或内存泄露状态。

最后一个安全问题仅影响运行使用 ngx_http_mp4_module 构建的 nginx 版本并在配置文件中启用 mp4 选项的服务器。

总的来说,HTTP/2 漏洞影响 1.9.5 和 1.15.5 之间的所有 nginx 版本,MP4 模块安全问题影响运行 nginx 1.0.7, 1.1.3 及更高版本的服务器。

为缓解这两个安全问题,服务器管理员必须将其 nginx 升级到 1.14.1 stable 或1.15.6 主线版本。


目前,Shodan 搜索显示超过 1400 万台服务器运行未包含修复补丁的 nginx 版本(更确切地说是 14,036,690 台),仅有 6992 台服务器打上了安全补丁。


本文来自云栖社区合作伙伴“开源中国”

本文作者:局长 

原文链接


weixin_34376986
关注
使用openEuler系统 搭建Nginx服务器
互联网老辛
12-27 2762
使用openEuler系统搭建
Nginx1.3.9-1.4.0DOS(拒绝服务)验证
06-21 1万+
最近开始推动公司的安全工作,发现公司使用的nginx版本直接暴露给外网,我建议让运维人员伪装或者隐藏服务器版本,遭到拒绝,无奈之下只好提供一份暴露版本号存在问题的实例。     找了几个版本的漏洞,最新的是1.3.9-1.4.0版本的,对于一个畸形的HTTP请求没有正常处理,导致连接保持,最终资源耗尽而不能再对外提供服务,最初我以为我的VM能支持1000+的请求,结果不到200就挂了,
攻击NGINX服务器漏洞使用包含服务器信息的暴露 NGINX 配置文件 “ngix.conf“ 更改配置值 。
最新发布
qq_24496111的博客
01-16 325
https://crackingx.com/threads/9003/
Nginx 工作原理和优化、漏洞
天下无敌庞成勇
07-29 951
1.  Nginx的模块与工作原理 Nginx由内核和模块组成,其中,内核的设计非常微小和简洁,完成的工作也非常简单,仅仅通过查找配置文件将客户端请求映射到一个location block(location是Nginx配置中的一个指令,用于URL匹配),而在这个location中所配置的每个指令将启动不同的模块去完成相应的工作。 Nginx的模块从结构上分为核心模块、基础模块和第三方
服务器数据库系列 - Nginx攻击的三种方法
自娱自乐的代码人
04-17 8540
1. ngx_http_limit_conn_module 可以用来限制单个IP的连接数: ngx_http_limit_conn_module 模块可以按照定义的键限定每个键值的连接数。特别的,可以设定单一 IP 来源的连接数。 并不是所有的连接都被模块计数;只有那些正在被处理的请求(这些请求的头信息已被完全读入)所在的连接才被计数。 配置范例 http {
nginx攻击的遭遇
12-03 1267
服务器是安装的1.14版本的nginx攻击的现象是: 服务器内存被消耗完,有多少就消耗多少。 系统无法进入。 断开网络并重启后方可进入。 使用top命令查询,占用cup的进程是kswapd0, kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。 没有其他任何的可疑进程。 云服务器有报错一些漏洞的咨询,正好有个高危漏洞是nginx的 。 就试着查询了一下nginx的漏洞信息, 确实是存在这个现象。 就把nginx升级到1.20.2版本...
nginx文件服务器5万并发量,Nginx服务器高性能优化-轻松实现10万并发访问量
weixin_30284125的博客
08-06 2807
今天要说的是Nginx服务器高性能优化的配置,如何使Nginx轻松实现10万并发访问量。通常来说,一个正常的 Nginx Linux 服务器可以达到 500,000 – 600,000 次/秒 的请求处理性能,如果Nginx服务器经过优化的话,则可以稳定地达到 904,000 次/秒 的处理性能,大大提高Nginx的并发访问量。这里需要特别说明的是:1、本文中所有列出来的配置都是在我的测试环境验证...
Nginx 配置一台服务器部署多个网站共用80端口
yuanshiren133的博客
02-11 2645
问题分析 一台服务器运行多个项目的时候遇到这样的问题:如果使用同一个tomcat来启动不同项目的话,项目之间相互影响;如果用多个tomcat运行项目,那么在访问项目的时候又不能都使用80端口,还要加上端口号,显得很麻烦又不美观。 考虑用Nginx实现转发,目标是通过访问不同的域名实现对不同tomcat上运行的项目的跳转,例如访问www.a.com 跳转到本地的8088端口的项目,访问www.b.com跳转到本地的8080端口的项目。 在nginx根目录下新建文件夹“vhost”,新建a.conf .
服务器 启动多个nginx_Nginx工作原理和优化总结
weixin_39838302的博客
11-21 2968
NGINX以高性能的负载均衡器,缓存,和web服务器闻名,驱动了全球超过 40% 最繁忙的网站。在大多数场景下,默认的 NGINX 和 Linux 设置可以很好的工作,但要达到最佳性能,有些时候必须做些调整。首先我们先了解其工作原理。一、Nginx的模块与工作原理Nginx由内核和模块组成,其中,内核的设计非常微小和简洁,完成的工作也非常简单,仅仅通过查找配置文件将客户端请求映射到一个l...
一台服务器上安装多台Nginx
qq_39633973的博客
07-28 5372
1、确认系统中是否安装了gcc、pcre-devel、zlib-devel、openssl-devel rpm -qa|grep gcc rpm -qa|grep pcre-devel rpm -qa|grep zlib-devel rpm -qa|grep openssl-devel 如果没有安装则进行第二步,否则进入第三步 2、使用yum安装gcc、pcre-devel、zlib-devel、openssl-devel yum install -y gcc、pcre-devel、zlib-devel、
Nginx 安全漏洞(CVE-2022-3638)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-28 1万+
漏洞描述如下:nginx中发现的该漏洞影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程中触发内存泄漏。从发布的版本看,1.23.2版本并没有标明修复CVE-2022-3638漏洞,但看文件已经删除了下列代码,最好使用补丁编译。:该主机上Nginx为从其他主机整体打包后拷贝过来,启动运行的,后来升级时发现很多依赖项并未安装;2)下载后,将补丁覆盖源码包,重新编译或直接用1.23.2版本重新编译。
配置Nginx解决http host头攻击漏洞【详细步骤】
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host头攻击漏洞,下面是解决步骤。
CentOS简单配置防御ddos攻击
println小强的博客
10-26 5715
DDOS这种攻击的目的就是在短时间内制造数量巨大的并发连接,从而使用服务器down机或消耗掉网络带宽和系统资源导致正常用户无法正常访问浏览网站。 DoS Deflate 是一个轻量级阻止拒绝服务攻击的bash shell脚本。我们可以通过安装他并且简单配置来防御DDOS攻击。 首先安装命令: wget http://www.inetbase.com/scripts/ddos/instal
如何使用Nginx对抗DDoS攻击
cloudguarder的博客
08-31 2927
时不时的就有客户被DDoS一下。很多时候攻击很简单也容封堵,但是攻击的目标是应用的时候就更难防御。在这里云端卫士介绍一下使用Nginx作为代理过滤器来封堵一些这种攻击。 Apache DDoS攻击 攻击Apache或者任何其他的HTTP服务器并不需要大量流量。有些服务器可能1 Mbit流量就宕机了。正确页面上的正确请求生成巨大的负载,导致服务器过载。应用设计、阿帕奇配置和
CentOS7-nginx配置 阻止dos攻击、禁止代理访问
Alves的博客
05-27 1万+
如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题,特别面对恶意的ddos攻击的时候。其中CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。cc攻击一般就是使用有限的ip数对服务器频繁发送数据来达到攻击的目的,nginx可以...
Nginx配置不当可能导致的安全问题
weixin_30394669的博客
04-27 1531
Nginx配置不当可能导致的安全问题 Auther: Spark1e目前很多网站使用了nginx或者tenginx(淘宝基于Nginx研发的web服务器)来做反向代理和静态服务器,ningx的配置文件nginx.conf的一些错误配置可能引发一些安全问题。要了解这些问题,我们先简单了解一下Nginx的配置文件 0x00 Nginx的配置文件的格式 Nginx的主配置文件非常简短,是由一些模块...
Nginx实现静态资源服务器
热门推荐
直到世界的尽头
05-31 6万+
我们在上一篇文章中已经分析了实现静态资源服务器的多种思路。本篇文章记录 使用Nginx实现静态资源服务器的步骤。首先需要安装Nginx和了解Nginx的配置文件。CentOS系统可参考如下帖子:Nginx-------Nginx的安装和多域名配置Nginx安装好能正常运行后我们来尝试配置静态资源服务器。配置静态资源服务器很简单,在一个server{}中添加 一个location 部分。   loc
Nginx 漏洞 (CVE-2018-16843,CVE-2018-16844)
weixin_33950035的博客
11-11 4621
近日 nginx 被爆出存在安全问题,有可能致使 1400 多万台服务器遭受 DoS ***。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。 nginx Web 服务器于 11 月 6 日 发布了新版本 ,用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题,被发现的安全问题有一种这样的情况 —— 允许潜在的***者触发拒绝服务 (DoS) 状态并访问敏感的信息。...
nginx文件服务器安全性,过分了啊!Nginx这些重要的安全设置,你不....
weixin_26801149的博客
08-11 1221
Nginx 是最流行的 Web 服务器,可以只占用 2.5 MB 的内存,却可以轻松处理 1w 的 http 请求。做为网站的入口,Nginx安全设置重要性不言而喻。下面带你一起去认识一下这些安全配置吧!nginx.conf是 Nginx 最主要的配置文件,大部分的安全配置都在这个文件上进行。禁用不需要的 Nginx 模块自动安装的 Nginx 内置很多模块,并不是所有的模块都需要,对于非必...
Linux服务器Nginx安全配置深度解析
"Linux服务器nginx安全配置详解" 在Linux服务器环境中,Nginx因其轻量级、高性能的特点,被广泛用于处理高流量的网站服务。它不仅作为一个Web服务器,还能作为反向代理和电子邮件代理。Nginx的独特之处在于其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值