这几天服务商提示我的站长站服务器配置有几个严重漏洞,我们进后台看了看提示的这几个服务器高危漏洞,如下图:
服务器漏洞参数
当无聊的用户非法访问类是:https://www.wdzzz.com/Style/Js/jquery.min.js/indexindex.php的时候,附件会被当成PHP脚本运行。下面是官方的解释:WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限。
服务器漏洞修复方案
后台提示了一个默认的修复方案:
配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径例如: if ( $fastcgi_script_name ~ ..*/.*php ) { return 403; }
这个是用403跳转的方式,禁止用户访问不存在的地址。
到网上找了几个更简单方法。
1、打开IIS管理器
2、找到‘处理程序映射’
3、然后找到'php'
4、双击进入后,我们进入‘请求限制’
5、最后我们勾选
确定之后就可以了。
我们在访问https://www.wdzzz.com/Style/Js/jquery.min.js/indexindex.php的时候,会发现跳转到了404页面了。