通过服务器配置防止程序上传漏洞
通过服务器配置彻底防止程序上传漏洞
[文章作者:孙立 链接:http://www.cnblogs.com/sunli/ 更新时间:2009-05-09]
-
事情起因
一个discuz论坛突然在某一个休息日的早上,被人在每个页面顶部挂上了一个iframe木马。首先第一时间肯定是找出哪里挂马了,然后去除了在说。然后经过分析,服务器的attachments目录有一个非常危险的php木马文件,可以在服务器上做很多危险的事情,Oh,my god!
- 寻找漏洞
问题出来,我们需要解决,要解决问题,我们需要知道问题在哪里。非常不幸的事,发生这样的问题的可能性也比较多,服务器被人攻破,被人放上来的?哪位离职人员做了手脚?程序上传漏洞?
服务器被人入侵不太可能,因为目前的安全防范应该是没有问题了。离职人员和上传漏洞倒是有可能。对于离职人员做手脚只要稍加防范就OK,上传漏洞去查漏还真是有点难,有时很难知道一个程序的漏洞在哪里.
- 如何解决
在当年asp很风火的时候,那时候dvbbs曾经曝过一个上传漏洞,让中国半壁中小论坛遭殃。曾经我都测试过,可以非常轻易的上传一个asp木马,然后进入服务器的任何角落。当时为了防止这种漏洞,我就在iis上把上传目录的脚本权限给去掉,这样即使上传了木马文件,也只是当一个文本文件解析,不过对服务器造成任何威胁。
为什么现在php的linux服务器没有做这些工作呢?疏忽?我想应该可能跟开发和运维人员的分工有关系吧。
目前论坛用的nginx,我就nginx的配置说下如何做到防范这类漏洞。
location ~ /attachments/.*\.php$ {
root /data/httpd/htdocs;
}
location ~ /customavatars/.*\.php$ {
root /data/httpd/htdocs;
}
可以再php的解析上面增加以上几行,让attachements和customavatars目录的php访问不经过fastcgi。这样打开里面的php就直接显示php代码了,不会进行php解释。如果使用有的php的mvc框架的单入口模式,就只给index.php给php解释权限就可以了。
同样,如果你使用jsp,前段可能有一个apache,nginx这样的代理,来分开静态文件和jsp动态请求,那么你也可以把上传目录下的所有请求当成静态文件处理。
如果你使用asp.net,asp,在iis上把制定的目录的脚本权限给去掉就可以了。
- 后话
为什么现在php的linux服务器没有做这些工作呢?疏忽?我想应该可能跟开发和运维人员的分工有关系吧。
目前论坛用的nginx,我就nginx的配置说下如何做到防范这类漏洞。
location ~ /attachments/.*\.php$ {
root /data/httpd/htdocs;
}
location ~ /customavatars/.*\.php$ {
root /data/httpd/htdocs;
}
|
同样,如果你使用jsp,前段可能有一个apache,nginx这样的代理,来分开静态文件和jsp动态请求,那么你也可以把上传目录下的所有请求当成静态文件处理。
如果你使用asp.net,asp,在iis上把制定的目录的脚本权限给去掉就可以了。
有时,通过运维人员的服务器配置可以弥补程序的漏洞。在大点的网站,上传的内容跟web服务器都是分开的,这样也可以有效的避免上传漏洞,但是跟前面说的是同一个道理,上传目录不能给访问者动态脚本执行权限。
新浪微博:http://t.sina.com.cn/sunli1223