目录
漏洞名称解释
Apache漏洞——卸载Apache2(可能不适用于大家)
CVE-2020-15778——禁用SCP
CVE-2020-15778、CVE-2016-2183、CVE-2021-41617、CVE-2014-0160、CVE-2020-12062、CVE-2021-28041、CVE-2016-6515——升级openssl和openssh
安装编译环境所需的工具
然后编译升级openssl
之后编译升级openssh
CVE-2018-19052和CVE-2019-11072——升级lighttpd
CVE-2021-23017——卸载nginx(可能不适用于大家)
卸载apache(可能不适用于大家)
CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP
检测到目标服务支持SSL弱加密算法
目标主机showmount -e信息泄露(CVE-1999-0554)
检测到远端X服务正在运行中(CVE-1999-0526)
转载请注明出处:小锋学长生活大爆炸[https://blog.csdn.net/sxf1061700625]
漏洞名称解释
lighttpd mod_alias_physical_handler’函数路径遍历漏洞(CVE-2018-19052) |
lighttpd 输入验证错误漏洞(CVE-2019-11072) |
OpenSSH 操作系统命令注入漏洞(CVE-2020-15778) |
OpenSSH 安全漏洞(CVE-2021-41617) |
Nginx DNS解析程序漏洞(CVE-2021-23017) |
PHP 缓冲区错误漏洞(CVE-2021-21703) |
PHP 资源管理错误漏洞(CVE-2021-21708) |
PHP 安全漏洞(CVE-2022-31626) |
PHP 安全漏洞(CVE-2022-31625) |
Apache漏洞——卸载Apache2(可能不适用于大家)
sudo apt-get --purge remove apache2
sudo apt-get --purge remove apache2.2-common
sudo apt-get autoremove
sudo find /etc -name "*apache*" -exec rm -rf {} \;
sudo rm -rf /var/www
CVE-2020-15778——禁用SCP
sudo mv /usr/bin/scp /usr/bin/no_use_scp
CVE-2020-15778、CVE-2016-2183、CVE-2021-41617、CVE-2014-0160、CVE-2020-12062、CVE-2021-28041、CVE-2016-6515、CVE-2023-28531等——升级openssl和openssh
温馨提示:在执行操作之前,建议使用root用户,或者登录一个root用户窗口备用,以免环境出问题导致只能重装系统!!!
安装编译环境所需的工具
对于centos(注意glibc不要升级,不然可能会出问题):
sudo yum update
sudo yum install wget tar make gcc perl pcre-devel zlib-devel
对于ubuntu:
sudo apt update
sudo apt install wget tar make gcc perl libc-dev libzip-dev libssl-dev autoconf gcc libxml2 libpam0g-dev -y
然后编译升级openssl
cd ~
wget https://www.openssl.org/source/openssl-1.1.1t.tar.gz --no-check-certificate
tar xzvf openssl-1.1.1t.tar.gz
rm openssl-1.1.1t.tar.gz -rf
cd openssl-1.1.1t
# ---------------------------------------------------------------------------------- #
# 以下两种情况,选择一种执行即可。比较推荐“情况1”!
# 情况1:
# 要加上shared参数,否则在升级ssh时会出现头文件和库文件不匹配的信息。
./config shared zlib --prefix=/usr/local/openssl --openssldir=/usr/local/openssl
make clean
make -j
# 建议以下这一步没问题再往后执行(即显示All tests successful. 如果出错,往下面看)
sudo make test
sudo make install
sudo mv /usr/bin/openssl /usr/bin/openssl.bak
sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
sudo mv /usr/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1.bak
sudo mv /usr/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1.bak
# 以下也有可能是/usr/local/openssl/lib,通过 ls /usr/local/openssl/ 看存在哪个
sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
sudo mv /usr/include/openssl /usr/include/openssl.bak
sudo ln -sf /usr/local/openssl/include/openssl /usr/include/openssl
cat /etc/ld.so.conf
sudo vim /etc/ld.so.conf
# 追加:/usr/local/openssl/lib64
# 跟上面一样,有可能是 /usr/local/openssl/lib,通过 ls /usr/local/openssl/ 看存在哪个
# ---------------------------------------------------------------------------------- #
# 情况2:
# 对于不加任何参数,则默认的安装位置为:/usr/local/bin/openssl。
./config
make -j64
# 建议以下这一步没问题再往后执行(即显示All tests successful.)
sudo make test
sudo make install
sudo mv /usr/bin/openssl /usr/bin/openssl.old
sudo ln -s /usr/local/bin/openssl /usr/bin/openssl
cat /etc/ld.so.conf
sudo vim /etc/ld.so.conf
# 追加:/usr/local/lib
# 也有可能是/usr/local/lib64,看存在哪个
# ---------------------------------------------------------------------------------- #
which openssl
sudo ldconfig -v
openssl version
ldd /usr/local/openssl/bin/openssl
问题一:如果在make test时候报错不通过,建议先升级一下perl:
cd ~
# 主要不要用最新的“不稳定开发版”
wget http://www.cpan.org/authors/id/S/SH/SHAY/perl-5.30.1.tar.gz --no-check-certificate
tar xzvf perl-5.30.1.tar.gz
cd perl-5.30.1
./Configure -des -Dprefix=/usr/local/perl -Dusethreads -Uinstalluserbinperl -Dcc=gcc
make -j
sudo make test
sudo make install
sudo mv /usr/bin/perl /usr/bin/perl.bak
sudo ln -s /usr/local/perl/bin/perl /usr/bin/perl
perl -v
然后重新执行上面openssl的make test。
问题二:如果一直显示使用的是anaconda的openssl,要么删除该openssl(不推荐):
rm /home/sxf/anaconda3/bin/openssl # 视情况
还有一种情况是,Conda可能在你的shell中默认是激活的,在Ubuntu上安装anaconda的情况往往如此。在你的shell提示符的开头可能有(base)。
因此简单地运行conda deactivate可以解决这个问题。
问题三:如果报错:
openssl: symbol lookup error: openssl: undefined symbol: EVP_mdc2, version OPENSSL_1_1_0
就把最后openssl的路径改为写到/etc/ld.so.conf.d/libc.conf中:
sudo vim /etc/ld.so.conf.d/libc.conf
# 写入:/usr/local/openssl/lib64
问题四:如果报错:
openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
如果ls等基础命令都不能用了,赶紧先用root用户执行下:
/sbin/ldconfig
然后检查一下是/usr/local/openssl/lib64还是/usr/local/openssl/lib,然后看情况重新执行:
sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
# 或者
sudo ln -sf /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
sudo ln -sf /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
问题五:如果报错:
error while loading shared libraries: __vdso_time
检查一下libc版本,并回退到之前可用的版本,比如之前是2.14,那么:
export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH
LD_PRELOAD=/lib64/libc-2.14.so ln -fs /lib64/libc-2.14.so /lib64/libc.so.6
之后编译升级openssh
(最新版openssh9.3p可能会存在sshd兼容问题,建议先别装这么新的)
由于升级太频繁了,给个脚本吧,可能不是很完善,看情况使用:update_openssh.sh
cd ~
wget https://www.zlib.net/zlib-1.2.13.tar.gz --no-check-certificate
tar zxvf zlib-1.2.13.tar.gz
rm zlib-1.2.13.tar.gz -rf
cd zlib-1.2.13/
./configure --prefix=/usr/local/zlib --shared
make clean
make -j
sudo make install
cd ~
wget https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz --no-check-certificate
tar zxvf openssh-9.3p2.tar.gz
rm openssh-9.3p2.tar.gz -rf
cd openssh-9.3p2
# 注意,如果上面更改了openssl的默认安装位置,那么--with-ssl-dir可能跟我不一样
./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --without-openssl-header-check --with-pam
make clean
make -j
sudo mv /etc/ssh /etc/ssh.old
sudo make install
# 启动一下OpenSSH
# /usr/local/openssh/sbin/sshd
# 如果遇到报错,就先将以下内容写入:sudo vim /etc/passwd
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
sudo make install
# 如果显示了“ssh_config already exists, install will not overwrite”,那可以不用执行下面这2行
sudo cp -f /etc/ssh.old/sshd_config /etc/ssh/
sudo sed -i 's/Type=notify/Type=simple/' /etc/systemd/system/sshd.service || sed -i 's/Type=notify/Type=simple/' /lib/systemd/system/ssh.service
sudo mv /usr/sbin/sshd /usr/sbin/sshd.bk
sudo mv /usr/bin/ssh /usr/bin/ssh.bk
sudo mv /usr/bin/scp /usr/bin/scp.bk
sudo mv /usr/bin/sftp /usr/bin/sftp.bk
sudo mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bk
sudo mv /usr/bin/ssh-agent /usr/bin/ssh-agent.bk
sudo mv /usr/bin/ssh-add /usr/bin/ssh-add.bk
sudo mv /usr/bin/ssh-keyscan /usr/bin/ssh-keyscan.bk
sudo ln -sf /usr/local/openssh/sbin/sshd /usr/sbin/sshd
sudo ln -sf /usr/local/openssh/bin/ssh /usr/bin/ssh
sudo ln -sf /usr/local/openssh/bin/scp /usr/bin/scp
sudo ln -sf /usr/local/openssh/bin/sftp /usr/bin/sftp
sudo ln -sf /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen
sudo ln -sf /usr/local/openssh/bin/ssh-agent /usr/bin/ssh-agent
sudo ln -sf /usr/local/openssh/bin/ssh-add /usr/bin/ssh-add
sudo ln -sf /usr/local/openssh/bin/ssh-keyscan /usr/bin/ssh-keyscan
# sudo mv /usr/local/openssh/bin/* /usr/bin/
sudo mv /usr/local/openssh/bin/scp /usr/local/openssh/bin/no_use_scp
sudo ldconfig
sudo /usr/sbin/sshd
sudo systemctl daemon-reload
sudo systemctl enable ssh
sudo systemctl restart sshd
ssh -V
sshd -v
netstat -tnlp | grep :22
问题一:如果遇到报错:
checking for openssl... /usr/bin/openssl
configure: error: *** working libcrypto not found, check config.log
检查下--with-ssl-dir=/usr/local/openssl这个路径对不对。
问题二:如果遇到报错:
checking OpenSSL library version... 1010111f (OpenSSL 1.1.1q 5 Jul 2022)
checking whether OpenSSL's headers match the library... no
configure: error: Your OpenSSL headers do not match your
library. Check config.log for details.
If you are sure your installation is consistent, you can disable the check
by running "./configure --without-openssl-header-check".
Also see contrib/findssl.sh for help identifying header/library mismatches.
那是你的环境里openssl安装有问题,导致openssl与他的库版本不一致。
补一下openssl中的以下操作,注意是openssl/lib64还是openssl/lib:(推荐)
sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1
sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
如果不行,可以尝试sudo apt remove openssl先卸载openssl,然后按照再上面步骤重新安装openssl。(不推荐)
如果不行,或者直接添加--without-openssl-header-check来跳过检查。(次推荐)
CVE-2018-19052和CVE-2019-11072——升级lighttpd
官方已修复该漏洞
sudo apt install -y gcc libpcre2-dev libpcre3 libpcre3-dev zlib1g-dev checkinstall libssl-dev
cd ~
wget https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz
tar zxvf lighttpd-1.4.66.tar.gz
rm lighttpd-1.4.66.tar.gz
cd lighttpd-1.4.66
./configure --with-openssl --sbindir=/usr/sbin
make -j12
sudo make install
sudo service lighttpd restart
CVE-2021-23017——卸载nginx(可能不适用于大家)
将残留卸载干净
dpkg --get-selections|grep nginx
sudo apt-get --purge remove nginx -y
sudo apt-get --purge remove nginx-common -y
sudo apt-get --purge remove nginx-core -y
卸载apache(可能不适用于大家)
# 删除 Apache2 的包及相关文件:
sudo apt-get --purge remove apache2* -y
sudo apt-get --purge remove apache2.* -y
sudo apt-get --purge remove apache2-dev -y
sudo apt autoremove -y
# 删除 Apache2 的配置文件:(慎重!)
sudo find /etc -name "*apache2*"|xargs sudo rm -rf
# 删除 Apache2 的相关目录:(慎重再慎重!)
sudo rm -rf /var/www/*
sudo rm -rf /etc/apache2*
sudo rm -rf /etc/httpd*
# 删除 Apache2 的相关注册表键:(慎重!)
sudo rm -f -- /etc/httpd/conf.d/*
CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP
官方8.1.7版本已修复该漏洞。原本装的PHP7,现在升级到8,升级后漏洞虽然得到修复,但对于服务器现有web环境的影响,还需要进一步检测。
sudo apt install software-properties-common
sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php8.1
sudo apt install php8.1-fpm
检测到目标服务支持SSL弱加密算法
对于老的openssl,可先升级。
然后配置:
vim /etc/ssh/sshd_config
最后面添加:
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
重启服务:
sudo service sshd restart
目标主机showmount -e信息泄露(CVE-1999-0554)
方式一、禁用showmount命令
sudo vim /etc/exports
将“-v”选项从exportfs命令中删除,这将禁用showmount命令:
/share/dir *(nohide)
保存配置文件并退出。
重新启动NFS服务器以使更改生效。
方式二、隐藏目录
编辑位于/etc/exports的NFS服务器配置文件,并在所有导出的文件系统中添加“nohide”选项。
sudo vim /etc/exports
添加nohide:
/export/backup *(rw,nohide)
重启NFS:
sudo service nfs restart
方式三、直接限制IP或用户文章来源:https://www.toymoban.com/news/detail-475134.html
NSFOCUS建议您采取以下措施以降低威胁:
* 限制可以获取NFS输出列表的IP和用户。
* 除非绝对必要,请关闭NFS服务、MOUNTD。
# 在NFS服务器上:
vim /etc/hosts.allow
mountd:192.168.1.10
rpcbind:192.168.1.10:allow
vim /etc/hosts.deny
mountd:ALL
rpcbind:ALL:deny
或者
vim /etc/exports
/data 192.168.1.10(rw,sync)
/data 192.168.1.12(rw,sync)
exportfs -rv
检测到远端X服务正在运行中(CVE-1999-0526)
sudo vim /etc/ssh/sshd_config
将X11Forwarding设置为no,并保存文件。文章来源地址https://www.toymoban.com/news/detail-475134.html
sudo service sshd restart
到了这里,关于【教程】一些服务器常见漏洞的修复方法,亲测超详细的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!