VPS侦探

昨日，80Sec 爆出Nginx具有严重的0day漏洞，详见《Nginx文件类型 错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器，就有被入侵的可能。

其实此漏洞并不是Nginx的漏 洞，而是PHP PATH_INFO的漏洞，详见：http://bugs.php.net/bug.php?id=50852&edit=1

例如用户上传了一张照片，访问地址为http://www.domain.com/images/test.jpg，而test.jpg文件内的内 容实际上是PHP代码时，通过http://www.domain.com/images/test.jpg/abc.php就能够执行该文 件内的PHP代码。

网上提供的临时解决方法有：
查看全文 »

前些天研究whmcs，文章首发在Licess's Blog，等第九主机的测试VPS几天了也没信，见VPS侦探上文章又好几天不更新了，索性拿过来吧。在自己的VPS上安装试一下，但是提示：Site error: the file /home/test/whmcs/index.php requires the ionCube PHP Loader ioncube_loader_lin_5.2.so to be installed by the site administrator.

根据上面的提示看来是因为没有安装ionCube。

首先，执行uname -a 查看系统是32位还是64位，打开http://www.ioncube.com/loaders.php页面根据Linux是32位还是64位下载适当的软件包，比如我的是32位的，切换到/usr/local/目录，执行cd /usr/local ，wget http://downloads2.ioncube.com/loader_downloads/ioncube_loaders_lin_x86.tar.gz 下载，再执行tar zxvf ioncube_loaders_lin_x86.tar.gz 解压软件包。

修改/usr/local/php/etc/php.ini 在文件尾部添加如下代码：
查看全文 »

VPS购买来了，不能就这么放在，对吧。下面给大家说一下VPS买来之后的初始化操作，及Nginx+MySQL+PHP+PHPMyAdmin+eAcelerator+vsftpd这些软件的编译安装。

一、登录VPS

登录的方式很多，如果是Linux直接ssh就可以。

下面以Windows下putty为例：

查看全文 »