國內(nèi)頂級(jí)安全團(tuán)隊(duì)80sec于5.20日下午6點(diǎn)發(fā)布了一個(gè)關(guān)于nginx的漏洞通告，由于該漏洞的存在，使用nginx+php組建的網(wǎng)站只要允許上傳圖片就可能被黑客入侵，直到5.21日凌晨，nginx尚未發(fā)布修復(fù)該漏洞的補(bǔ)丁；已經(jīng)有一些網(wǎng)站被黑了，管理員速修復(fù)！

根據(jù)Netcraft的統(tǒng)計(jì)，直到2010年4月，全球一共有1300萬臺(tái)服務(wù)器運(yùn)行著nginx程序；非常保守的估計(jì)，其中至少有600萬臺(tái)服務(wù)器運(yùn)行著nginx并啟用了php支持；繼續(xù)保守的估計(jì)，其中有1/6，也就是100萬臺(tái)服務(wù)器允許用戶上傳圖片。有圖有真相。

沒錯(cuò)，重申一次，由于nginx有漏洞，這100萬臺(tái)服務(wù)器可能通過上傳圖片的方法被黑客輕易的植入木馬。植入木馬的過程也非常簡單，就是把木馬改成圖片上傳就是了，由于危害非常大，就不說細(xì)節(jié)了。有興趣的請(qǐng)?jiān)L問 http://netsecurity.51cto.com/art/201005/201140.htm

最后發(fā)一個(gè)小道消息，據(jù)說黑客已經(jīng)在行動(dòng)了；安全人員、系統(tǒng)管理人員、行動(dòng)起來吧，趕緊修復(fù)該漏洞；最好不要有僥幸心理，否則下一個(gè)被黑客入侵的可能就是你的網(wǎng)站。根據(jù)80sec安全公告的描述，臨時(shí)修復(fù)方法如下，可3選其一。

1、設(shè)置php.ini的cgi.fix_pathinfo為0，重啟php。最方便，但修改設(shè)置的影響需要自己評(píng)估。

2、給nginx的vhost配置添加如下內(nèi)容，重啟nginx。vhost較少的情況下也很方便。

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

3、禁止上傳目錄解釋PHP程序。不需要?jiǎng)觲ebserver，如果vhost和服務(wù)器較多，短期內(nèi)難度急劇上升；建議在vhost和服務(wù)器較少的情況下采用。

估計(jì)今天黑客和管理員的交互會(huì)達(dá)到一個(gè)小高潮，如果希望進(jìn)一步的了解相關(guān)內(nèi)幕，請(qǐng)關(guān)注素包子的網(wǎng)站 http://baoz.net/nginx-0day-by-80sec/