通过服务器配置防止程序上传漏洞

通过服务器配置彻底防止程序上传漏洞

[文章作者：孙立 链接：http://www.cnblogs.com/sunli/ 更新时间：2009-05-09]

1. 事情起因

一个discuz论坛突然在某一个休息日的早上，被人在每个页面顶部挂上了一个iframe木马。首先第一时间肯定是找出哪里挂马了，然后去除了在说。然后经过分析，服务器的attachments目录有一个非常危险的php木马文件，可以在服务器上做很多危险的事情，Oh,my god!

1. 寻找漏洞

问题出来，我们需要解决，要解决问题，我们需要知道问题在哪里。非常不幸的事，发生这样的问题的可能性也比较多，服务器被人攻破，被人放上来的？哪位离职人员做了手脚？程序上传漏洞？

服务器被人入侵不太可能，因为目前的安全防范应该是没有问题了。离职人员和上传漏洞倒是有可能。对于离职人员做手脚只要稍加防范就OK，上传漏洞去查漏还真是有点难，有时很难知道一个程序的漏洞在哪里.

3. 如何解决

在当年asp很风火的时候，那时候dvbbs曾经曝过一个上传漏洞，让中国半壁中小论坛遭殃。曾经我都测试过，可以非常轻易的上传一个asp木马，然后进入服务器的任何角落。当时为了防止这种漏洞，我就在iis上把上传目录的脚本权限给去掉，这样即使上传了木马文件，也只是当一个文本文件解析，不过对服务器造成任何威胁。
为什么现在php的linux服务器没有做这些工作呢？疏忽？我想应该可能跟开发和运维人员的分工有关系吧。
目前论坛用的nginx，我就nginx的配置说下如何做到防范这类漏洞。
location ~ /attachments/.*\.php$ {

root /data/httpd/htdocs;
}


location ~ /customavatars/.*\.php$ {
root /data/httpd/htdocs;
}
可以再php的解析上面增加以上几行，让attachements和customavatars目录的php访问不经过fastcgi。这样打开里面的php就直接显示php代码了，不会进行php解释。如果使用有的php的mvc框架的单入口模式，就只给index.php给php解释权限就可以了。


同样，如果你使用jsp，前段可能有一个apache,nginx这样的代理，来分开静态文件和jsp动态请求，那么你也可以把上传目录下的所有请求当成静态文件处理。
如果你使用asp.net,asp，在iis上把制定的目录的脚本权限给去掉就可以了。
3. 后话

有时，通过运维人员的服务器配置可以弥补程序的漏洞。在大点的网站，上传的内容跟web服务器都是分开的，这样也可以有效的避免上传漏洞，但是跟前面说的是同一个道理，上传目录不能给访问者动态脚本执行权限。