VPS侦探论坛

标题: lnmpa中的htaccess轻微漏洞 [打印本页]

作者: smartweb 时间: 2015-12-18 09:11
标题: lnmpa中的htaccess轻微漏洞
lnmpa经常收到安全警告说htaccess轻微漏洞，原来是htaccess能被下载。
补救方法：
每个ng网站的配置文件，在最后一个}之前添加以下代码
location ~ /\.ht {deny all;}
保存，启web服务，这样就可以了

作者: licess 时间: 2015-12-18 11:23
1.1之前的应该是有这个问题，1.2开始就已经禁止所有.开头的了

作者: sandm 时间: 2016-1-22 16:22
标题: 回复 2# 的帖子
1.2默认是禁止的，可是还是可以下载

作者: licess 时间: 2016-1-22 17:34
标题: 回复 3# 的帖子
3楼兄台给测试下载一下 http://104.251.225.213/.hello
3楼是用什么方法下载？

全新1.2默认安装，只创建了.hello

作者: marry100 时间: 2016-1-25 22:27
确实有泄漏的可能，之前是可以打开的！我在阿里云上部署的，阿里云提示有泄漏风险

作者: smartweb 时间: 2016-1-26 09:34
已经用上1.3，测试过可以下载，打补丁吧

作者: licess 时间: 2016-1-26 10:43
自己在虚拟主机里添加上
      location ~ /\.
      {
         deny all;
      }

吧，原来的虚拟主机创建文件忘记加了这个

作者: smartweb 时间: 2016-1-26 20:45
标题: 回复 7# 的帖子
看到有些资料介绍，ng判断客户端所用浏览器可以挡部分ddos

if ($http_user_agent ~* "MSIE 5.01") {return 500;}

欢迎光临 VPS侦探论坛 (https://bbs.lnmp.com/)