另外给每个虚拟主机设置了缓存及更完善的防盗链支持.

安装我写了一个脚本.下载后执行就可以了(仅限于centos系统).但是有一个前提:必须在全新安装directadmin面板的机器上安装,这是个已知问题.

安装方法:

wget http://icodex.org/dl/directadmin/install.sh
chmod 755 install.sh
./install.sh

卸载方法:

wget http://icodex.org/dl/directadmin/uninstall.sh
chmod 755 uninstall.sh
./uninstall.sh

如果有任何建议或疑问,请发邮件给我(admin@evlit.com) 谢谢!

Related Posts

• 给DirectAdmin面板增加nginx前端 (2)
• nginx + apache (0)
• [更新]nginx 自动安装脚本 For cPanel (28)
• nginx文件类型错误解析漏洞 (0)
• CentOS 适用的第三方yum更新源 (4)

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看 到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。

那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问 http://www.80sec.com/80sec.jpg/80sec.php 将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。

后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不 对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚 本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

POC：访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

PS: 鸣谢laruence大 牛在分析过程中给的帮助

转载自: nginx文件类型错误解析漏洞:http://www.80sec.com/nginx-securit.html

Related Posts

• 适用于Directadmin面板的Nginx自动安装脚本 (2)
• 给DirectAdmin面板增加nginx前端 (2)
• nginx + apache (0)
• [更新]nginx 自动安装脚本 For cPanel (28)
• 为nginx虚拟主机配置startssl免费https证书 (0)

Related Posts

• 适用于Directadmin面板的Nginx自动安装脚本 (2)
• nginx + apache (0)
• [更新]nginx 自动安装脚本 For cPanel (28)
• nginx文件类型错误解析漏洞 (0)
• 为nginx虚拟主机配置startssl免费https证书 (0)

搭建前后端web生产环境

Related Posts

• 适用于Directadmin面板的Nginx自动安装脚本 (2)
• 给DirectAdmin面板增加nginx前端 (2)
• [更新]nginx 自动安装脚本 For cPanel (28)
• nginx文件类型错误解析漏洞 (0)
• 为nginx虚拟主机配置startssl免费https证书 (0)

为cPanel主机添加nginx服务器软件,这样可以让nginx跑在前端处理静态文件,并且加装nginx后的资源消耗比单纯跑apache少很多.在找cPanel hack的资料的时候,刚好看到cPanel官方论坛上的一个牛人写的一个安装脚本,仔细拜读了一遍代码之后,决定在自己的cPanel服务器上安装.在使用过程中也渐渐发现了一些可以优化.可以增加的特性,主要是nginx上的一些新特性,籍由这些特性,完成了平时似乎不能完成的功能,例如在高并发的机器上实现的服务器端的缓存功能,以及nginx作为前端的时候使用.htaccess进行目录保护.这些特性都大大方便了我们的使用.

这里引用cPanel Forums上的帖子.作者blargman写了一个专门为cPanel打造的nginx自动安装脚本.

Evidently I don't know hot to post in the right forum.

This is an automated nginx installer for cpanel. Integrates so that domain adding/removal is all done automatically.
Some people had asked for cpanel support. In lieu of that, this does pretty much everything I can think of that they would do. It creates a vhost for each domain/addon/subdomain and serves up static content.

Let me know if you have any thoughts/questions or better yet suggestions.
http://blargman.com/public.tar

以上是作者原文,原文地址:点击这里.

安装方法很简单(建议做好备份),如下:

cd /usr/local/src
wget http://blargman.com/public.tar
tar xf public.tar
cd publicnginx
./nginxinstaller install

安装好之后,重启nginx,执行命令:/etc/init.d/nginx restart.Nginx的配置文件均在/etc/nginx当中,各用户绑定的域名(附加域,子域等)均在/etc/nginx/vhosts

卸载:

进入publicnginx目录后执行./nginxinstaller uninstall.

-------------------------------------------------------------------------------------------------------------------------------------

我在作者编写代码的基础上增加了缓存功能,以及更多功能上的支持,例如防盗链,自定义错误页面等.为方便大家使用.做出的修改我已经打包成修改版的安装包.

有朋友问到我的版本和论坛里原版本的差别是在哪.我的版本解决了哪些问题.这是大部分用户的问题,这里集中进行回答.

1.完善的目录密码保护功能 -- 这个在原作者的安装包里面,并不能做到,原因在于没有对401状态码进行判断.
2.伪静态功能的实现 -- 不管你的是以html结尾的还是以"/" 结尾的URL地址,nginx会提前判断文件系统中是否存在该文件/目录,如果不存在,那么就会匹配到后端的apache.后端的apache根据.htaccess文件的设置,进行页面的展示,前端nginx获取到内容后便进行压缩,然后传递给访客浏览器中.
3.访问日志准确记录 -- 原作者的安装包中,是nginx与apache共用同个日志文件进行记录.nginx记录静态页面的访问信息,apache记录动态页面访问信息,理论上可行.但在实际使用中,我发现了这个问题.这个问题一个突破口在于对后缀.html匹配的时候,同时查询了前端nginx及后端的apache.这样就造成了日志的重复.另外一个是一些没有匹配到的后缀,前端不仅处理了访客的请求并进行记录,还会向后端发起请求查询.但由于大文件不会很快就传输完毕,因此即便设置了keepalive也无济于事.在我的安装包中,我将后端的用户配置中非加密端口的日志功能取消了,完全由前端的nginx进行记录.
4.日志切割问题 -- 这个问题来自前面说的第3点修改,如果只是修改了第3点而没有进行这一步,那么就会碰到一个问题:当执行用户访问日志切割并转为统计页面展示给用户看,系统会自动将用户的日志删除,导致这之后的日志访问信息丢失直至下次nginx重启.在对cpanel日志统计进程的跟踪后,找出/usr/local/cpanel/bin/safeapacherestart这行.这行的作用是让日志切割后的apache可以安全的重新启动.解决办法就是一改作者重启nginx的方式,我将重启nginx的信息加入apache的重启命令中,以后只需要对apache进行命令操作就可以了.
5.泛域名解析 -- cpanel支持泛域名解析,而且在作为主机商而言,泛域名也是一个特色,需要用起来.但是作者的版本以及我之前修改的版本中,并没有对这块进行支持,一旦客户绑定了泛域名,就会使nginx无法启动,全部用户的网站受影响.那么这次的更新就包含了这个功能.
6.基于proxy_cache的缓存系统 -- 这个是我添加的,为可选功能.删除缓存的方法可以遵循squidclient的方式进行.不带缓存的安装版本 http://icodex.org/public_nocache.tar

另外需要注意的,网友们提到的一个是重启nginx后的那一串提示.这个警告信息是提示你主机名存在错误,不影响使用.

安装方法与作者原版一样.请执行如下安装!

cd /usr/local/src
wget http://icodex.org/public.tar
tar xf public.tar
cd publicnginx
./nginxinstaller install

注意:如果之前安装了作者原版本的nginx,请先卸载后再执行安装.

Related Posts

• 适用于Directadmin面板的Nginx自动安装脚本 (2)
• 给DirectAdmin面板增加nginx前端 (2)
• nginx + apache (0)
• nginx文件类型错误解析漏洞 (0)
• VPS合租第一期:Knownhost (6)

但是现在情况有所改观了,今年9月份,StartCom公司出现在Windows根证书认证程序厂商更新当中,因此StartSSL证书在IE平台上已经可以正常使用的.另外Chrome,苹果Safari浏览器都可以正常识别StartSSL颁发的证书.但是Opera浏览器仍然不能支持.

为 nginx虚拟主机配置startssl证书

前提条件:独立IP.一台Linux机器.Startssl账户申请这里就不说明了.申请很简单,验证域名所有权也很简单.这里就做证书的配置.

我们先为域名生成证书请求文件和密钥.需要生成2048位加密的证书请求.以icodex.org为例,执行命令:

openssl req -new -newkey rsa:2048 -nodes -out icodex.csr -keyout icodex.key

执行之后在/etc/nginx/certs目录中就有icodex.csr. 执行cat icodex.csr查看里面的内容并复制:

然后将复制的粘贴到startssl后 台,这里每一步都进行截图:

第一步:

第二步:

第三步:

第四步:

第五步:

第六步:

第七步:

第八步:

最后一步注意要先将这段代码保存为icodex.crt 放在与icodex.csr icodex.key同个目录.

然后配置nginx,直接丢配置上来.

server {
listen       443;
listen       80;
server_name  os.icodex.org;
root   /home/icodex/os/public_html;
index index.html index.htm index.php;
access_log  /var/log/nginx/os.icodex.org-access.log  access;

ssl    on;
ssl_certificate    /etc/nginx/certs/icodex.crt;
ssl_certificate_key     /etc/nginx/certs/icodex.key;
ssl_session_timeout 5m;

ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers   on;

location ~* ^.+\.(js|css|jpg|jpeg|gif|png|ico|bmp|swf)$ {
expires      7d;
}

# pass the PHP scripts to FastCGI server
#
location ~ .*\.php$ {
fastcgi_index  index.php;
fastcgi_pass    127.0.0.1:9000;
include        fastcgi_params;
fastcgi_param   HTTPS on;
}
}

最后重启nginx.完毕...

另外,昨日与Showfom(此君 域名我妒忌)聊天的时候谈到火狐中文版验证ssl时提示ssl不受信任的问题,这应该是根证书的问题,后来测试,果然解决了.我们知道在apache有 SSLCertificateChainFile用来指定CA根证书位置,虽然nginx没有这个字段来指定,但是在nginx和lighttpd中是可 以将CA根证书与我们自己的证书合并使用的(声明来源:Sudone).步骤如下:

我们先到startssl下载 CA根证书,地址:http://cert.startssl.com/certs /,然后进入我们的证书保存位置,注意,操作前记得备份原证书文件.

cd /etc/nginx/certs/
cp icodex.crt icodex.crt.bak
wget http://www.startssl.com/certs/ca.pem
cat ca.pem >> icodex.crt

最后重启nginx即可.

Related Posts

• 适用于Directadmin面板的Nginx自动安装脚本 (2)
• nginx文件类型错误解析漏洞 (0)
• 给DirectAdmin面板增加nginx前端 (2)
• nginx + apache (0)
• [更新]nginx 自动安装脚本 For cPanel (28)