如果你的vps正在运行着nginx+php,请详细查看以下内容:
国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允许上传 图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布修复该漏洞的补丁;已经有一些网站被黑了,nginx用户请尽快修复!
具体解决方法有三,可选其一:
1、设置php.ini的cgi.fix_pathinfo为0,重启php。最方便,但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容,重启nginx。vhost较少的情况下也很方便。
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
3、禁止上传目录解释PHP程序。不需要动webserver,如果vhost和服务器较多,短期内难度急剧上升;建议在vhost和服务器较少的情况下 采用。
我们vps已经暂停了centos+nginx模板,待修复后重新开放!
免责声明:请nginx用户尽快修复,由次漏洞造成的任何损失本站将不承担任何责任!
具体关于此漏洞的介绍请看这里:
http://www.80sec.com/nginx-securit.html

Related posts:

  1. Nginx无缝升级
  2. 你的网站“IPv6 Ready”了吗?
  3. Nginx介绍 – Nginx是什么?