信息中心 / NEWS CENTER
瑞星称nginx软件存漏洞 已有大型网站被植木马
上海网站建设 | 上海网站设计 时间:2010-05
新浪科技讯5月21日午间消息,瑞星公司今日向各大网站、企业网络管理员发布安全警告称,流行代理器软件Nginx爆出0day漏洞,如果网站使用Nginx和PHP构建,并且允许用户上传图片,就会被黑客入侵,植入木马等
瑞星表示,目前国内多家大型门户网站、购物网站采用了该软件,存在易被攻击的漏洞,截至发稿时已有某大型购物网站被成功入侵
据介绍,Nginx是一个高性能的HTTP和反向代理服务器软件,被广泛用于大型博客、购物、相册等网站的服务器中,国内排行前列的大型网站使用的服务器,多数安装了该软件
此漏洞为独立研究团队80sec昨日下午公开的,目前Nginx的开发者至今尚未发布相应补丁
据统计,全球有1300万台服务器运行着Nginx程序,其中的600万台同时运行Nginx和PHP程序,带有漏洞,易被攻击
国内易遭攻击的服务器数量可能高达百万台
瑞星安全专家建议各大网站和企业网络的CTO,可以采用以下临时措施降低该漏洞的影响:
第一、设置php.ini的cgi.fix_pathinfo为0,重启php
这种修改可能影响到目前服务器上运行的应用
第二、在nginx的vhost配置文件添加如下内容后重启:
if($fastcgi_script_name~..*/.*php){
return403;
}
第三、禁止上传目录解释PHP程序
这种解决措施会影响vhost和服务器,实施难度比较大
瑞星安全专家提醒网民:近期多个大型网站可能遭黑客攻击被植入木马,因此请网民即使在访问大型网站时也要做好防护
.tomadd_sup_new{background:transparenturl(http://i1.sinaimg.cn/cj/deco/2008/0226/images/fina_mj_003.gif)no-repeatscroll102%-48px;
display:block;}
/*tommend0930*/
.style_t_vb{overflow:hidden;zoom:1;margin-top:25px;text-decoration:none;width:559px;}
.style_t_vba{background:url(http://i2.sinaimg.cn/IT/deco/2009/0930/images/wbicon_cl_002.png)no-repeat;width:105px;padding:10px000;height:15px;text-align:right;line-height:normal;float:right;margin-top:0;margin-left:8px;}
转发此文至微博
//![CDATA[
varsendT={
getHeader:function(){
varg_title=document.getElementById("artibodyTitle").innerHTML;
varre=/[^>]*?font[^
网友评论欢迎发表评论
#comment_t_show1a:link,#comment_t_show1a:visited{text-decoration:none;}
#comment_t_show1a:hover{text-decoration:underline;}
分值
//本范例取自商城的商品打分应用
varvote_list=newObject();
vote_list["很好"]="1";
vote_list["稍好"]="2";
vote_list["一般"]="3";
vote_list["稍差"]="4";
vote_list["很差"]="5";
functionkf_ifempty(myform){
if(myform.content.value==""){
alert("请填写评论内容后再提交,谢谢");
returnfalse;
}else{
returntrue;
}
}
登录名:
密码:
同时发往微博
快速注册新用户
//可复制过去改下下面参数就可以了
functioninitUserName(){
passcardOBJ.init(
//FlashSoft注意,最好这个input的autocomplete设定为off
//需要有下拉框的input对象
document.getElementById("usernew"),
{
//鼠标经过字体颜色
overfcolor:"#666",
//鼠标经过背景颜色
overbgcolor:"#d6edfb",
//鼠标离开字体颜色
outfcolor:"#000000",
//鼠标离开背景颜色
outbgcolor:""
},
//输入完成后,自动需要跳到的input对象[备选]
document.getElementById("password"),
null,
document.getElementById("SSOTipsContainer")
);
}
initUserName();
返回上页
