禁止访问.git文件

国庆期间,一个朋友突然跟我说他们的阿里云服务器被黑了,让我帮看看情况。经过了解,是一位19岁的安全少年主动联系了他们,正好是他们的粉丝,所以热情的提供了一整套攻击清单让客户那边尽快修复这些问题,也没有做什么破坏,粉丝大法好!

赶紧看下攻击清单,毕竟我不玩“安全”很多年了,对现在使用的手法已经不那么熟悉。

攻击清单中一些严重的问题

  1. REDIS虽有密码却未限定访问,严重程度:高。通过在获取rootshell后,写入这样的后门,服务器管理员不容易察觉,安全问题容易复发。redis
  2. .git目录未禁止访问,严重程度:非常高。泄露整站源码,源码中甚至可能含有各种服务器组建的访问/登录密码(如Mysql、Redis等),商业损失严重。

 

看到.git(这里有一篇更详细的漏洞利用方法)这个使用方法整个人都精神了,赶紧测试下自己的站,发现可以访问!那就意味着可以被整站下载…

 

现在要让Apache和Nginx禁止访问.git才行。

 

Apache .htaccess

 

Nginx conf

之后重新加载/重启Nginx即可。

 

 

 

 

原创文章,转载请注明: 转载自konakona

本文链接地址: 禁止访问.git文件

团哥

继续玩我的CODE,让别人说去。 低调,就是这么自信。

You may also like...