VPS侦探

由于脚本编写时出错导致可能存在pathinfo漏洞，请所有lnmp用户检查一下php的pathinfo设置！！！

编辑/usr/local/php/etc/php.ini 文件，搜索 cgi.fix_pathinfo ，如果cgi.fix_pathinfo 该行为 ; cgi.fix_pathinfo=0 请修改为 cgi.fix_pathinfo=0
或直接执行：sed -i 's/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g' /usr/local/php/etc/php.ini

再执行：/usr/local/php/sbin/php-fpm restart重启

如果是cgi.fix_pathinfo=0则没问题，不需要修改。
请各位lnmp用户检查一下，防止pathinfo漏洞给网站或服务器带来安全隐患。

安装包文件都已经更新。
2011.6.9，9:30分以后下载安装的脚本里已解决此问题。

感谢lnmp用户的反馈，感谢各位对lnmp的支持。

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现 其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可 能攻陷支持php的nginx服务器。
漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以


location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
查看全文 »