[原创文章] 0day漏洞：其实可以不用怕 漏洞

柔肠寸断

原文来自：http://www.xy-seo.com/post/webserver_0day.html
: x8 J6 k# F% s' d7 I7 S  h" M
6 S- s! V3 r9 o$ @3 d3 l; n) I9 Z9 s原创文章，转载请注明) c5 s% g. ^" Z, ?

; Y! x# k6 a3 L  n/ d0 a6 V/ I. w8 _( u4 A: r/ G
今晚拿到朋友给的一个Apache的0day，说是他自己挖出来的，我便尝试找了一些站点，ok，都可以拿到shell，大部分权限是jsp的。。。所以=.=  系统权限都是问题的原文来自：http://www.xy-seo.com/post/webserver_0day.html
. E( R. l. c3 g, M7 l3 n最重要的是：大部分都是gov的域名。怕怕，不过只要自己不做亏心事，咱怕什么，对吧" _: h  l7 R% r( P
查了下这些网站的PR，基本都是5以上，7的就很常见了，也难怪是属于gov的了。。0 m0 i, l( G+ c* Y1 `) l) J: u' I! i
手里拿着这些大站的权限，不禁的想到前几天Nigix服务器出的洞洞了，当时t00ls的朋友拿下了当当网的论坛，我就测试了下，拿了几个大论坛，这里不方便透露了，注册用户都是上万的废话。。。。其品牌知名度我一说大家都知道。。这样的站，在我心中永远是大站；
% a7 A$ m6 B  c7 [现在，小彦彦就教服务器管理员怎么保护自己的网站吧！
  a4 [$ E) w6 }1 F1、一定要及时的关注服务器、网站程序以及其他方面的漏洞，并且及时修补；8 {( s5 Q  `7 N4 I& e3 o  o
2、对与敏感目录，适当权限控制，比如前端时间dede出洞洞的时候，如果禁止了上传目录的执行权限，那么就可以躲过这场灾难；
1 S- w' e; P; `3、有条件的话，只要能安全都给用上，ssl、linux、ipsec、等等就不说了；
; P0 Q& @* w# V- t0 \0 U, {4、有能力的话，自己开发。程序开发不是问题，关键web服务器好像很少看到别人开发的，要么就很不稳定，要么还是原来的内核
  U3 d* @4 u$ g4 a5 c5、做好日志审查工作，及时的发现入侵，及时堵住漏洞，删除后门、做好取证，必要的时候可以给公安部门提供帮助；
- H- i& H) n8 g  |& c! l用小彦彦提供的上述定律，绝对可以100%解决0day产生的入侵
. c4 |) ]9 B8 h* G* i9 N& tAD:牛逼的域名出售  0days.net.cn，当年入侵台湾百度的时候，一炮走红，的确，就是我做的，现在愿意买这个域名的也可以来啊\' ]8 m( d$ s8 E( K

8 E/ F! R$ d5 V9 y原文来自：http://www.xy-seo.com/post/webserver_0day.html