مشکل امنیتی NGINX برای wordpress
سلام
با توجه به اینکه کاربران تصور میکنند nginx یک راهکار عالی و بی عیب و نقص است این اخطار را به شما میدهم در صورتی که بدون دانش فنی بالا (که هیچ اموزشی در این انجمن نیز برای ان نخواهید یافت) اقدام به نصب و راه اندازی سرویس های وب سرویس و ... بر روی سرور خود کنید دچار مشکل امنیتی میشوید که هفته گذشته با ان روبرو شدیم.
سروری به ما جهت منیج داده شد که به صورت متناوب هک میشد. پس از بررسی متوجه تنظیمات اشتباهی در وب سرویس و سیستم هندلینگ php شدیم که به هکر اجازه اپلود فایل های مخرب در قالب عکس را میداد.
مطالعه بیشتر:
Nginx WordPress Codex
پاسخ : مشکل امنیتی NGINX برای wordpress
یک توضیحی میدادید به فرسی که دقیقا مشکلتون چی بود و چطور رفعش کردید
پاسخ : مشکل امنیتی NGINX برای wordpress
نقل قول:
نوشته اصلی توسط
vpsiran
یک توضیحی میدادید به فرسی که دقیقا مشکلتون چی بود و چطور رفعش کردید
با توجه به نوع سیستم هندل php و اپاچی، هکر با اپلود یک عکس با فرمت های معمول png و به خصوص gif فایل های php مخرب خود را اجرا میکرد.
فایل ها به شکل معمول http://wordpress/upload/myfile.gif اپلود و هکر به شکل http://wordpress/upload/myfile.gif/myfile2.php فایل را اجرا میکرد
در لینک ارایه شده توضیحات لازم درج شده است.
پاسخ : مشکل امنیتی NGINX برای wordpress
خب دوست عزیز این که ربطی به NGINX نداره . شما اگه mime type ها رو درست ست کنی و خود ورد پرس هدر فایل ها رو و نه فقط پسوند رو چک کنه شما هیچوقت به این مشکل نمیخوری . در ضمن Nginx انقدر ماژول امنتی واسه این چیزا زیاد داره . اگه همچین مشکلی از nginx بود الان تو کل سایت های خبری و ... ازش حرف میزدن و سریع هم update اش میومد . پس نمیشه به این حرف شما که نمیدونم بر چه پایه و اساس علمی هست تکیه کرد .
پاسخ : مشکل امنیتی NGINX برای wordpress
مشکل فوق به وب سرور مربوط نیست با تنظیم ضحیح پرمیشن ها در اون فولدر و حتی استفاده از یک فایل .htaccess برای جلوگیری از اجرای extension های خاص قابل حل می باشد
پاسخ : مشکل امنیتی NGINX برای wordpress
زمانیکه شما nginx را در کنار fcgi کانفیگ میکنید منجر به بروز این مشکل میشود. حال nginx بهترین و قدرتمندترین نیز باشد.در کنار fcgi دچار مشکل میشود (به صورت پیش فرض) صحبت من کانفیگ پیش فرض بوده نه کانفیگ تخصصی.نسبت به این موضوع بیشتر دقت کنید !!!!!!!
مشکل از nginx نیست بنده لینکی خدمتتون در پست بالا دادم تا توضیحات را کامل مطالعه کنید
پاسخ : مشکل امنیتی NGINX برای wordpress
نقل قول:
نوشته اصلی توسط
ali_fattahi
خب دوست عزیز این که ربطی به NGINX نداره . شما اگه mime type ها رو درست ست کنی و خود ورد پرس هدر فایل ها رو و نه فقط پسوند رو چک کنه شما هیچوقت به این مشکل نمیخوری . در ضمن Nginx انقدر ماژول امنتی واسه این چیزا زیاد داره . اگه همچین مشکلی از nginx بود الان تو کل سایت های خبری و ... ازش حرف میزدن و سریع هم update اش میومد . پس نمیشه به این حرف شما که نمیدونم بر چه پایه و اساس علمی هست تکیه کرد .
پایه و اساس علم در لینک بالا توضیح داده شده است !!! بنده کانفیگ پیشفرض را عرض کردم. این مشکل سال 2011 و 2009 گزارش شده .در خود سایت nginx ( به سال هایی که ذکر کردم دقت کنید نه اینکه به سرعت پاسخ دهید ) و اینک در چند سرور این مشکل را هنوز مشاهده کردم.
به این دلیل اخطاری به کاربرانی دادم که از این برنامه بدون کانفیگ و تنها با نصب ساده استفاده میکنند.
شما اگر با بنده اشنایی ندارید لازم به تذکر یا اموزش نیست. سال های سال است دز زمینه سرویس های لینوکسی فعال هستم و تنها قصد از این تاپیک اخطار یک باگ قدیمی به کاربران تازه کار بود و نیازی به دانش شما و تجربیات شخصی شما ندارم.
