lnmpa中的htaccess轻微漏洞

smartweb 发表于 2015-12-18 09:11:56

lnmpa经常收到安全警告说htaccess轻微漏洞，原来是htaccess能被下载。
补救方法：
每个ng网站的配置文件，在最后一个}之前添加以下代码
location ~ /\.ht {deny all;}
保存，启web服务，这样就可以了

licess 发表于 2015-12-18 11:23:17

1.1之前的应该是有这个问题，1.2开始就已经禁止所有.开头的了

sandm 发表于 2016-1-22 16:22:40

1.2默认是禁止的，可是还是可以下载

licess 发表于 2016-1-22 17:34:53

3楼兄台给测试下载一下 http://104.251.225.213/.hello
3楼是用什么方法下载？

全新1.2默认安装，只创建了.hello

marry100 发表于 2016-1-25 22:27:16

确实有泄漏的可能，之前是可以打开的！我在阿里云上部署的，阿里云提示有泄漏风险

smartweb 发表于 2016-1-26 09:34:25

已经用上1.3，测试过可以下载，打补丁吧

licess 发表于 2016-1-26 10:43:56

自己在虚拟主机里添加上
   location ~ /\.
   {
         deny all;
   }

吧，原来的虚拟主机创建文件忘记加了这个

smartweb 发表于 2016-1-26 20:45:27

看到有些资料介绍，ng判断客户端所用浏览器可以挡部分ddos

if ($http_user_agent ~* "MSIE 5.01") {return 500;}

页: [1]

VPS侦探论坛's Archiver