VPSYOU 6月份优惠码
halfram:终生1/2内存优惠:就是赠送购买类型的1/2倍内存;
5%off:季付优惠5%;
10%off:半年付优惠10%;
15%off:年付优惠15%;
产品介绍信息请点击登陆VPSYou官网。
再提供一种解决Nginx文件类型错误解析漏洞的方法
昨日,80Sec 爆出Nginx具有严重的0day漏洞,详见《Nginx文件类型 错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。
其实此漏洞并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞,详见:http://bugs.php.net/bug.php?id=50852&edit=1
例如用户上传了一张照片,访问地址为http://www.domain.com/images/test.jpg,而test.jpg文件内的内 容实际上是PHP代码时,通过http://www.domain.com/images/test.jpg/abc.php就能够执行该文 件内的PHP代码。
网上提供的临时解决方法有:
查看全文 »
nginx文件类型错误解析漏洞
漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现 其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可 能攻陷支持php的nginx服务器。
漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
查看全文 »
lnmp中pureftpd无法覆盖文件的解决方法
有几位lnmp的用户在论坛反应pureftpd覆盖文件的时候无法覆盖,通过检查发现pureftpd配置文件错误。
解决方法:
在/usr/local/pureftpd/pure-ftpd.conf 文件末尾加上
AllowOverwrite on
AllowStoreRestart on
再执行/root/pureftpd restart重启即可。
注:5月19日14点之后下载的不需要更改此配置文件。
