Nginx惊爆漏洞，nginx用户请尽快修复！

admin — Fri, 21 May 2010 03:06:37 +0000

各位客户大家好：
如果你的vps正在运行着nginx+php，请详细查看以下内容：
国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁；已经有一些网站被黑了，nginx用户请尽快修复！
具体解决方法有三，可选其一：
1、设置php.ini的cgi.fix_pathinfo为0，重启php。最方便，但修改设置的影响需要自己评估。
2、给nginx的vhost配置添加如下内容，重启nginx。vhost较少的情况下也很方便。
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
3、禁止上传目录解释PHP程序。不需要动webserver，如果vhost和服务器较多，短期内难度急剧上升；建议在vhost和服务器较少的情况下采用。
我们vps已经暂停了centos+nginx模板，待修复后重新开放！
免责声明：请nginx用户尽快修复，由次漏洞造成的任何损失本站将不承担任何责任！
具体关于此漏洞的介绍请看这里：
http://www.80sec.com/nginx-securit.html

Nginx 0.8.x PHP一键包

admin — Mon, 08 Feb 2010 09:53:08 +0000

Nginx (“engine x”) 是一个高性能的 HTTP 和反向代理服务器，也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的，它已经在该站点运行超过两年半了。Igor 将源代码以类BSD许可证的形式发布。

　　Nginx 超越 Apache 的高性能和稳定性，使得国内使用 Nginx 作为 Web 服务器的网站也越来越多，其中包括新浪博客、新浪播客、网易新闻等门户网站频道，六间房、56.com等视频分享网站，Discuz!官方论坛、水木社区等知名论坛，豆瓣、YUPOO相册、海内SNS、迅雷在线等新兴Web 2.0网站。
此安装包在本站的xen Centos 5.3 32bit vps上安装测试成功，建议安装在一个干净的vps上面！
此安装包一键安装的软件包括：
php-5.2.11 php-5.2.11-fpm nginx-0.8.21 mysql-5.1.39 ZendOptimizer-3.3.9 pure-ftpd-1.0.22 User_manager_for-PureFTPd_v2.1_CN ImageMagick PDO_MYSQL-1.0.2 eaccelerator-0.9.5.3 imagick-2.2.2 libevent-1.4.9 libiconv-1.13.1 libmcrypt-2.5.8 mcrypt-2.6.8 memcache-2.2.5 mhash-0.9.9.9 pcre-7.9
程序安装路径：
MySQL : /usr/local/webserver/mysql PHP : /usr/local/webserver/php Nginx : /usr/local/webserver/nginx PHPMyAdmin： /home/www/phpmyadmin Web： /home/www/default logs： /home/logs/ pureftpd：/usr/local/pureftpd
安装步骤：本人在CentOS 5.3 32bit vps上安装测试成功！
1.下载附件解压缩后执行：[download id="1"]

1
2
3

 cd lnmp
chmod +x centos.sh
chmod +x pureftpd.sh

主要是赋予这两个文件可以执行的权限
2.分别执行：

1 2	./centos.sh ./pureftpd.sh

3.执行完centos.sh后如果没有报错那提示你安装成功，（请耐心等待，因为编译php，mysql时间花费较长）然后执行：

1	/usr/local/webserver/mysql/bin/mysql -u root -p -S /tmp/mysql.sock

当出现Enter password：时请直接按回车键
然后输入以下SQL语句，创建一个具有root权限的用户（admin）和密码（12345678）：

1 2	GRANT ALL PRIVILEGES ON . TO 'admin'@'localhost' IDENTIFIED BY '12345678'; GRANT ALL PRIVILEGES ON . TO 'admin'@'127.0.0.1' IDENTIFIED BY '12345678';

注意：密码（12345678）要和 /home/mysql/3306/mysql文件里的“mysql_password=”12345678″”一致,请自行修改！
4.执行：请按提示安装

1	curl http://pear.php.net/go-pear \| /usr/local/webserver/php/bin/php

5.一些配置文件的路径：
/home/mysql/3306/my.cnf /home/mysql/3306/mysql #(启动 start、停止stop、重启restart) /usr/local/webserver/php/etc/php.ini /usr/local/webserver/php/etc/php-fpm.conf /usr/local/webserver/php/sbin/php-fpm #参数有 start|stop|quit|restart|reload|logrotate /usr/local/webserver/nginx/conf/nginx.conf /usr/local/webserver/nginx/conf/fcgi.conf /usr/local/webserver/nginx/sbin/nginx /usr/local/pureftpd/pureftpd-mysql.conf /usr/local/pureftpd/pure-ftpd.conf
6.若修改php.ini了请执行/usr/local/webserver/php/sbin/php-fpm reload ，若修改了nginx.conf请执行kill -HUP `cat /usr/local/webserver/nginx/nginx.pid`，若检查nginx.conf配置文件是否正确请执行/usr/local/webserver/nginx/sbin/nginx -t，若正确会显示：
the configuration file /usr/local/webserver/nginx/conf/nginx.conf syntax is ok the configuration file /usr/local/webserver/nginx/conf/nginx.conf was tested successfully
7.此安装包已经添加vps系统启动时自动启动php-fpm、nginx、mysql、pureftpd。如果发现ftp不能登录，请执行/pureftpd-start。
8.执行完pureftpd.sh后请用http://youdomain.com/ftp/install.php安装ftp账号管理程序
9.请用http://youdomain.com/phpinfo.php测试安装环境
软件下载地址：
http://www.vpsyou.com/lnmp/lnmp.zip

VPSYOU主机网 » Nginx

Nginx惊爆漏洞，nginx用户请尽快修复！

Nginx 0.8.x PHP一键包