设为首页收藏本站
开启辅助访问

【教程】一些服务器常见漏洞的修复方法,亲测超详细

 您所在的位置:网站首页 用于windows的安全更新程序漏洞修复失败怎么解决 【教程】一些服务器常见漏洞的修复方法,亲测超详细

【教程】一些服务器常见漏洞的修复方法,亲测超详细

2024-03-25 22:21| 来源: 网络整理| 查看: 265

目录

漏洞名称解释

Apache漏洞——卸载Apache2(可能不适用于大家)

CVE-2020-15778——禁用SCP

CVE-2020-15778、CVE-2016-2183、CVE-2021-41617、CVE-2014-0160、CVE-2020-12062、CVE-2021-28041、CVE-2016-6515——升级openssl和openssh

安装编译环境所需的工具

然后编译升级openssl

之后编译升级openssh

CVE-2018-19052和CVE-2019-11072——升级lighttpd

CVE-2021-23017——卸载nginx(可能不适用于大家)

卸载apache(可能不适用于大家)

CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP

检测到目标服务支持SSL弱加密算法

目标主机showmount -e信息泄露(CVE-1999-0554)

检测到远端X服务正在运行中(CVE-1999-0526)

转载请注明出处:小锋学长生活大爆炸[https://blog.csdn.net/sxf1061700625]

漏洞名称解释 lighttpd mod_alias_physical_handler’函数路径遍历漏洞(CVE-2018-19052)lighttpd 输入验证错误漏洞(CVE-2019-11072)OpenSSH 操作系统命令注入漏洞(CVE-2020-15778)OpenSSH 安全漏洞(CVE-2021-41617)Nginx DNS解析程序漏洞(CVE-2021-23017)PHP 缓冲区错误漏洞(CVE-2021-21703)PHP 资源管理错误漏洞(CVE-2021-21708)PHP 安全漏洞(CVE-2022-31626)PHP 安全漏洞(CVE-2022-31625)

Apache漏洞——卸载Apache2(可能不适用于大家) sudo apt-get --purge remove apache2 sudo apt-get --purge remove apache2.2-common sudo apt-get autoremove sudo find /etc -name "*apache*" -exec rm -rf {} \; sudo rm -rf /var/www

CVE-2020-15778——禁用SCP sudo mv /usr/bin/scp /usr/bin/no_use_scp

CVE-2020-15778、CVE-2016-2183、CVE-2021-41617、CVE-2014-0160、CVE-2020-12062、CVE-2021-28041、CVE-2016-6515、CVE-2023-28531等——升级openssl和openssh

温馨提示:在执行操作之前,建议使用root用户,或者登录一个root用户窗口备用,以免环境出问题导致只能重装系统!!!

安装编译环境所需的工具

        对于centos(注意glibc不要升级,不然可能会出问题):

sudo yum update sudo yum install wget tar make gcc perl pcre-devel zlib-devel

        对于ubuntu:

sudo apt update sudo apt install wget tar make gcc perl libc-dev libzip-dev libssl-dev autoconf gcc libxml2 libpam0g-dev -y 然后编译升级openssl cd ~ wget https://www.openssl.org/source/openssl-1.1.1t.tar.gz --no-check-certificate tar xzvf openssl-1.1.1t.tar.gz rm openssl-1.1.1t.tar.gz -rf cd openssl-1.1.1t # ---------------------------------------------------------------------------------- # # 以下两种情况,选择一种执行即可。比较推荐“情况1”! # 情况1: # 要加上shared参数,否则在升级ssh时会出现头文件和库文件不匹配的信息。 ./config shared zlib --prefix=/usr/local/openssl --openssldir=/usr/local/openssl make clean make -j # 建议以下这一步没问题再往后执行(即显示All tests successful. 如果出错,往下面看) sudo make test sudo make install sudo mv /usr/bin/openssl /usr/bin/openssl.bak sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl sudo mv /usr/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1.bak sudo mv /usr/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1.bak # 以下也有可能是/usr/local/openssl/lib,通过 ls /usr/local/openssl/ 看存在哪个 sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1 sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1 sudo mv /usr/include/openssl /usr/include/openssl.bak sudo ln -sf /usr/local/openssl/include/openssl /usr/include/openssl cat /etc/ld.so.conf sudo vim /etc/ld.so.conf # 追加:/usr/local/openssl/lib64 # 跟上面一样,有可能是 /usr/local/openssl/lib,通过 ls /usr/local/openssl/ 看存在哪个 # ---------------------------------------------------------------------------------- # # 情况2: # 对于不加任何参数,则默认的安装位置为:/usr/local/bin/openssl。 ./config make -j64 # 建议以下这一步没问题再往后执行(即显示All tests successful.) sudo make test sudo make install sudo mv /usr/bin/openssl /usr/bin/openssl.old sudo ln -s /usr/local/bin/openssl /usr/bin/openssl cat /etc/ld.so.conf sudo vim /etc/ld.so.conf # 追加:/usr/local/lib # 也有可能是/usr/local/lib64,看存在哪个 # ---------------------------------------------------------------------------------- # which openssl sudo ldconfig -v openssl version ldd /usr/local/openssl/bin/openssl

问题一:如果在make test时候报错不通过,建议先升级一下perl:

cd ~ # 主要不要用最新的“不稳定开发版” wget http://www.cpan.org/authors/id/S/SH/SHAY/perl-5.30.1.tar.gz --no-check-certificate tar xzvf perl-5.30.1.tar.gz cd perl-5.30.1 ./Configure -des -Dprefix=/usr/local/perl -Dusethreads -Uinstalluserbinperl -Dcc=gcc make -j sudo make test sudo make install sudo mv /usr/bin/perl /usr/bin/perl.bak sudo ln -s /usr/local/perl/bin/perl /usr/bin/perl perl -v

        然后重新执行上面openssl的make test。

问题二:如果一直显示使用的是anaconda的openssl,要么删除该openssl(不推荐):

rm /home/sxf/anaconda3/bin/openssl # 视情况

        还有一种情况是,Conda可能在你的shell中默认是激活的,在Ubuntu上安装anaconda的情况往往如此。在你的shell提示符的开头可能有(base)。

        因此简单地运行conda deactivate可以解决这个问题。

问题三:如果报错:

openssl: symbol lookup error: openssl: undefined symbol: EVP_mdc2, version OPENSSL_1_1_0

        就把最后openssl的路径改为写到/etc/ld.so.conf.d/libc.conf中:

sudo vim /etc/ld.so.conf.d/libc.conf # 写入:/usr/local/openssl/lib64

问题四:如果报错:

openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

        如果ls等基础命令都不能用了,赶紧先用root用户执行下:

/sbin/ldconfig

        然后检查一下是/usr/local/openssl/lib64还是/usr/local/openssl/lib,然后看情况重新执行:

sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1 sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1 # 或者 sudo ln -sf /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1 sudo ln -sf /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

问题五:如果报错:

error while loading shared libraries: __vdso_time

        检查一下libc版本,并回退到之前可用的版本,比如之前是2.14,那么:

export LD_LIBRARY_PATH=/opt/glibc-2.14/lib:$LD_LIBRARY_PATH LD_PRELOAD=/lib64/libc-2.14.so ln -fs /lib64/libc-2.14.so /lib64/libc.so.6

之后编译升级openssh

(最新版openssh9.3p可能会存在sshd兼容问题,建议先别装这么新的)

由于升级太频繁了,给个脚本吧,可能不是很完善,看情况使用:update_openssh.sh

cd ~ wget https://www.zlib.net/zlib-1.2.13.tar.gz --no-check-certificate tar zxvf zlib-1.2.13.tar.gz rm zlib-1.2.13.tar.gz -rf cd zlib-1.2.13/ ./configure --prefix=/usr/local/zlib --shared make clean make -j sudo make install cd ~ wget https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.3p2.tar.gz --no-check-certificate tar zxvf openssh-9.3p2.tar.gz rm openssh-9.3p2.tar.gz -rf cd openssh-9.3p2 # 注意,如果上面更改了openssl的默认安装位置,那么--with-ssl-dir可能跟我不一样 ./configure --prefix=/usr/local/openssh --sysconfdir=/etc/ssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/openssl --without-openssl-header-check --with-pam make clean make -j sudo mv /etc/ssh /etc/ssh.old sudo make install # 启动一下OpenSSH # /usr/local/openssh/sbin/sshd # 如果遇到报错,就先将以下内容写入:sudo vim /etc/passwd sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin sudo make install # 如果显示了“ssh_config already exists, install will not overwrite”,那可以不用执行下面这2行 sudo cp -f /etc/ssh.old/sshd_config /etc/ssh/ sudo sed -i 's/Type=notify/Type=simple/' /etc/systemd/system/sshd.service || sed -i 's/Type=notify/Type=simple/' /lib/systemd/system/ssh.service sudo mv /usr/sbin/sshd /usr/sbin/sshd.bk sudo mv /usr/bin/ssh /usr/bin/ssh.bk sudo mv /usr/bin/scp /usr/bin/scp.bk sudo mv /usr/bin/sftp /usr/bin/sftp.bk sudo mv /usr/bin/ssh-keygen /usr/bin/ssh-keygen.bk sudo mv /usr/bin/ssh-agent /usr/bin/ssh-agent.bk sudo mv /usr/bin/ssh-add /usr/bin/ssh-add.bk sudo mv /usr/bin/ssh-keyscan /usr/bin/ssh-keyscan.bk sudo ln -sf /usr/local/openssh/sbin/sshd /usr/sbin/sshd sudo ln -sf /usr/local/openssh/bin/ssh /usr/bin/ssh sudo ln -sf /usr/local/openssh/bin/scp /usr/bin/scp sudo ln -sf /usr/local/openssh/bin/sftp /usr/bin/sftp sudo ln -sf /usr/local/openssh/bin/ssh-keygen /usr/bin/ssh-keygen sudo ln -sf /usr/local/openssh/bin/ssh-agent /usr/bin/ssh-agent sudo ln -sf /usr/local/openssh/bin/ssh-add /usr/bin/ssh-add sudo ln -sf /usr/local/openssh/bin/ssh-keyscan /usr/bin/ssh-keyscan # sudo mv /usr/local/openssh/bin/* /usr/bin/ sudo mv /usr/local/openssh/bin/scp /usr/local/openssh/bin/no_use_scp sudo ldconfig sudo /usr/sbin/sshd sudo systemctl daemon-reload sudo systemctl enable ssh sudo systemctl restart sshd ssh -V sshd -v netstat -tnlp | grep :22

问题一:如果遇到报错:

checking for openssl... /usr/bin/openssl configure: error: *** working libcrypto not found, check config.log

        检查下--with-ssl-dir=/usr/local/openssl这个路径对不对。

问题二:如果遇到报错:

checking OpenSSL library version... 1010111f (OpenSSL 1.1.1q  5 Jul 2022) checking whether OpenSSL's headers match the library... no configure: error: Your OpenSSL headers do not match your         library. Check config.log for details.         If you are sure your installation is consistent, you can disable the check         by running "./configure --without-openssl-header-check".         Also see contrib/findssl.sh for help identifying header/library mismatches.

        那是你的环境里openssl安装有问题,导致openssl与他的库版本不一致。

        补一下openssl中的以下操作,注意是openssl/lib64还是openssl/lib:(推荐)

sudo ln -sf /usr/local/openssl/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1 sudo ln -sf /usr/local/openssl/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

        如果不行,可以尝试sudo apt remove openssl先卸载openssl,然后按照再上面步骤重新安装openssl。(不推荐)

        如果不行,或者直接添加--without-openssl-header-check来跳过检查。(次推荐)

CVE-2018-19052和CVE-2019-11072——升级lighttpd

官方已修复该漏洞

sudo apt install -y gcc libpcre2-dev libpcre3 libpcre3-dev zlib1g-dev checkinstall libssl-dev cd ~ wget https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz tar zxvf lighttpd-1.4.66.tar.gz rm lighttpd-1.4.66.tar.gz cd lighttpd-1.4.66 ./configure --with-openssl --sbindir=/usr/sbin make -j12 sudo make install sudo service lighttpd restart

CVE-2021-23017——卸载nginx(可能不适用于大家)

将残留卸载干净

dpkg --get-selections|grep nginx sudo apt-get --purge remove nginx -y sudo apt-get --purge remove nginx-common -y sudo apt-get --purge remove nginx-core -y

卸载apache(可能不适用于大家) # 删除 Apache2 的包及相关文件: sudo apt-get --purge remove apache2* -y sudo apt-get --purge remove apache2.* -y sudo apt-get --purge remove apache2-dev -y sudo apt autoremove -y # 删除 Apache2 的配置文件:(慎重!) sudo find /etc -name "*apache2*"|xargs sudo rm -rf # 删除 Apache2 的相关目录:(慎重再慎重!) sudo rm -rf /var/www/* sudo rm -rf /etc/apache2* sudo rm -rf /etc/httpd* # 删除 Apache2 的相关注册表键:(慎重!) sudo rm -f -- /etc/httpd/conf.d/*

CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP

官方8.1.7版本已修复该漏洞。原本装的PHP7,现在升级到8,升级后漏洞虽然得到修复,但对于服务器现有web环境的影响,还需要进一步检测。

sudo apt install software-properties-common sudo add-apt-repository ppa:ondrej/php sudo apt update sudo apt install php8.1 sudo apt install php8.1-fpm

检测到目标服务支持SSL弱加密算法

对于老的openssl,可先升级。

然后配置:

vim /etc/ssh/sshd_config

最后面添加:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr

重启服务:

sudo service sshd restart

目标主机showmount -e信息泄露(CVE-1999-0554)

方式一、禁用showmount命令

sudo vim /etc/exports

将“-v”选项从exportfs命令中删除,这将禁用showmount命令:

/share/dir *(nohide)

保存配置文件并退出。

重新启动NFS服务器以使更改生效。

方式二、隐藏目录

编辑位于/etc/exports的NFS服务器配置文件,并在所有导出的文件系统中添加“nohide”选项。

sudo vim /etc/exports

添加nohide:

/export/backup *(rw,nohide)

重启NFS:

sudo service nfs restart

方式三、直接限制IP或用户

NSFOCUS建议您采取以下措施以降低威胁: * 限制可以获取NFS输出列表的IP和用户。 * 除非绝对必要,请关闭NFS服务、MOUNTD。 # 在NFS服务器上: vim /etc/hosts.allow mountd:192.168.1.10 rpcbind:192.168.1.10:allow vim /etc/hosts.deny mountd:ALL rpcbind:ALL:deny 或者 vim /etc/exports /data 192.168.1.10(rw,sync) /data 192.168.1.12(rw,sync) exportfs -rv

检测到远端X服务正在运行中(CVE-1999-0526) sudo vim /etc/ssh/sshd_config

将X11Forwarding设置为no,并保存文件。

sudo service sshd restart



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3