apache服务器安全问题

ApacheShiro反序列化漏洞（Shiro-550CVE-2016-4437）0x00 漏洞描述Apache Shiro是⼀款开源安全框架，提供⾝份验证、授权、密码学和会话管理。

Shiro框架直观、易⽤，同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中，加密的⽤户信息序列化后存储在名为remember-me的Cookie中。

攻击者可以使⽤Shiro的默认密钥伪造⽤户Cookie，触发Java反序列化漏洞，进⽽在⽬标机器上执⾏任意命令只要rememberMe的AES加密密钥泄露，⽆论shiro是什么版本都会导致反序列化漏洞。

0x01 影响版本Apache Shiro <= 1.2.40x02 漏洞原理Apache Shiro框架提供了记住我的功能（RememberMe），关闭了浏览器下次再打开时还是能记住你是谁，下次访问时⽆需再登录即可访问。

⽤户登陆成功后会⽣成经过加密并编码的cookie。

Apache Shiro 1.2.4及以前版本中，Apache Shiro默认使⽤了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。

然⽽AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞在服务端接收cookie值时，按照如下步骤来解析处理：1、检索RememberMe cookie 的值2、Base 64解码3、使⽤AES解密(加密密钥硬编码)4、进⾏反序列化操作（未作过滤处理）但是，AES加密的密钥Key被硬编码在代码⾥，意味着每个⼈通过源代码都能拿到AES加密的密钥。

因此，攻击者构造⼀个恶意的对象，并且对其序列化，AES加密，base64编码后，作为cookie的rememberMe字段发送。

Shiro将rememberMe进⾏解密并且反序列化，最终造成反序列化漏洞。

Apache服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章日志配置操作 (5)2.1日志配置 (5)2.1.1审核登录 (5)第3章设备其他配置操作 (6)3.1访问权限 (6)3.1.1禁止访问外部文件 (6)3.2防攻击管理 (6)3.2.1错误页面处理 (7)3.2.2目录列表访问限制 (7)3.2.3拒绝服务防范 (8)3.2.4删除无用文件 (8)3.2.5隐藏敏感信息 (9)3.2.6Apache账户安全* (9)3.2.7限制请求消息长度 (10)第4章评审与修订 (11)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Apache服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Apache服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Apache 服务器系统。

1.3适用版本2.0.x、2.2.x版本的Apache服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章日志配置操作2.1日志配置2.1.1审核登录第3章设备其他配置操作3.1访问权限3.1.1禁止访问外部文件3.2防攻击管理3.2.1错误页面处理3.2.2目录列表访问限制3.2.3拒绝服务防范3.2.4删除无用文件3.2.5隐藏敏感信息3.2.6Apache账户安全*3.2.7限制请求消息长度范文范例指导参考第4章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

Apache出现的CPU高占用率该怎么解决关于网站服务器的介绍，站长们多少会有所了解，其重要性也直接影响着网站的正常运营，所以说，选择服务器也是比较重要的，那么对于apache出现的cpu高占用率，该怎么解决呢？专职优化、域名注册、网站空间、虚拟主机、服务器托管、vps主机、服务器租用的中国信息港为你做详细的介绍！下面我们针对几种错误信息进行分析并给出解决的方法：1. Apache与WinSock v2相冲突Apache官方提供的手册中提到，在Windows系统下Apache2.x为了提高性能而使用了Microsoft WinSock v2 API，但是一些常见的防火墙软件会破坏他的正确性，从而使得Apache出现死循环操作造成CPU100％。

其错误提示如下所示：[error] (730038)An operation was attempted on something that is not a socket.: winnt_accept: AcceptEx failed. Attempting to recover.[error] (OS 10038) : Child 3356: Encountered too many errors accepting client connections. Possible causes: dynamic address renewal, or incompatible VPN or firewall software. Try using the Win32DisableAcceptEx directive.[warn] (OS 121)信号灯超时时间已到。

: winnt_accept: Asynchronous AcceptEx failed.[warn] (OS 64)指定的网络名不再可用。

: winnt_accept: Asynchronous AcceptEx failed.可以依次采用下面的方法来解决上面的问题，如果进行了一步还有问题就继续下一步：1) 在httpd.conf文件中使用 Win32DisableAcceptEx 禁止Apache使用Microsoft WinSock v2 API ：1.<IfModule mpm_winnt.c>2.Win32DisableAcceptEx # 禁止使用AcceptEx()3.</IfModule>2) 使用System Repair Engineer(SREng)查看WinSocket供应者，如果出现非MS的陌生项则将其删除，并使用软件的“重置WinSocket”按钮进行重置。

常见的操作系统漏洞及解决方法操作系统功能强大，但同样也会有漏洞会被病毒利用。

下面由店铺整理了常见的操作系统漏洞及解决方法，希望对你有帮助。

常见的操作系统漏洞及解决方法常见的操作系统漏洞一、SQL注入漏洞SQL注入攻击(SQL Injection)，简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。

在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

通常情况下，SQL注入的位置包括：(1)表单提交，主要是POST请求，也包括GET请求;(2)URL参数提交，主要为GET请求参数;(3)Cookie参数提交;(4)HTTP请求头部的一些可修改的值，比如Referer、User_Agent等;(5)一些边缘的输入点，比如.mp3文件的一些文件信息等。

SQL注入的危害不仅体现在数据库层面上，还有可能危及承载数据库的操作系统;如果SQL注入被用来挂马，还可能用来传播恶意软件等，这些危害包括但不局限于：(1)数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。

作为数据的存储中心，数据库里往往保存着各类的隐私信息，SQL注入攻击能导致这些隐私信息透明于攻击者。

(2)网页篡改：通过操作数据库对特定网页进行篡改。

(3)网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

(4)数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被篡改。

(5)服务器被远程控制，被安装后门。

经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。

(6)破坏硬盘数据，瘫痪全系统。

解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。

通常使用的方案有：(1)所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。

网站常见漏洞以及解决办法远端HTTP服务器类型和版本信息泄漏1、ServerT okens 指令语法- ServerTokens Major|Minor|Min[imal]|Prod[uctOnly]|OS|Full默认值- ServerTokens Full这个指令控制了服务器回应给客户端的"Server:"应答头是否包含关于服务器操作系统类型和编译进的模块描述信息。

ServerTokens Prod[uctOnly] 服务器会发送(比如)：Server: ApacheServerTokens Major 服务器会发送(比如)：Server: Apache/2ServerTokens Minor 服务器会发送(比如)：Server: Apache/2.0ServerTokens Min[imal] 服务器会发送(比如)：Server: Apache/2.0.41ServerTokens OS 服务器会发送(比如)：Server: Apache/2.0.41 (Unix) ServerTokens Full (或未指定) 服务器会发送(比如)：Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2此设置将作用于整个服务器，而且不能用在虚拟主机的配置段中。

2.0.44版本以后，这个指令还控制着ServerSignature指令的显示内容。

2、ServerSignature 指令说明: 配置服务器生成页面的页脚语法: ServerSignature On|Off|Email默认值: ServerSignature OffServerSignature 指令允许您配置服务器端生成文档的页脚（错误信息、mod_proxy的ftp目录列表、mod_info的输出）。

您启用这个页脚的原因主要在于处于一个代理服务器链中的时候，用户基本无法辨识出究竟是链中的哪个服务器真正产生了返回的错误信息。

王宇航09283020 王聪雅09283017SELinux实验一、实验内容概述我选做的是用SELinux来保护本机的Apache Web服务器。

对于Internet上应用广泛的Web服务来说，有很多网站使用的是Linux系统，并且采用Apache服务器的无疑占据了极大的市场份额。

因此，在Linux系统中保护Apache Web 服务器的安全，防止非法用户进入无疑是一件非常重要的事情。

二、Apache Web服务器的安全需求在没有强制访问控制系统保护的Linux系统中，我们本机的Apache Web服务器是可能遭受攻击的，比如0-Day 攻击（利用尚未公开的漏洞实现的攻击行为）。

假设系统上的Apache Web服务器被发现存在一个漏洞，而修复该安全漏洞的Apache 更新补丁尚未打出，则某远程用户便可能有机会攻击我们的Apache Web服务器，访问系统上的敏感文件（比如/etc/passwd），或者尝试在别处写入进而攻击我们的系统。

这种情况下，我们便可以借助SELinux来保护我们的Apache Web服务器，对访问权限进行严格的限制，使其不会遭受真正的伤害。

因为使用SELniux后，几乎所有的服务进程都在限制下运行。

并且，大多数以root身份运行的系统进程（比如passwd进程）都是受限制的。

当进程受限制时，它只能在自己限制的域内运行，例如Web服务进程httpd只能运行在httpd_t域内。

如果一个受限制的进程被黑客攻击并控制了，根据SELinux策略配置，这个黑客也仅仅只能访问这个受限制的域，因此攻击所带来的危害也比传统的Linux小了很多。

三、实验环境主机CPU：Intel(R) Core i5 M 460 @ 2.53GHzVMware版本：VMware.Workstation.Full.7.1.0.261024.WinLinux发行版：Fedora-15-i386-DVDLinux内核：2.6.38.6-26四、实验过程1、了解SELinuxSELinux是一种基于域-类型模型（domain-type）的强制访问控制（MAC）安全系统，比起通常的Linux系统来，安全性能要高很多，它通过对用户进程权限的最小化，使系统即使受到攻击（例如进程或者用户权限被夺去），也不会对整个系统造成重大影响。

apache服务器出现内存溢出的解决方法2011-10-08 14:26Tomcat内存溢出的原因在生产环境中tomcat内存设置不好很容易出现内存溢出。

造成内存溢出是不一样的，当然处理方式也不一样。

这里根据平时遇到的情况和相关资料进行一个总结。

常见的一般会有下面三种情况：1.OutOfMemoryError： Java heap space2.OutOfMemoryError： PermGen space3.OutOfMemoryError： unable to create new native thread.Tomcat内存溢出解决方案对于前两种情况，在应用本身没有内存泄露的情况下可以用设置tomcat jvm参数来解决。

（-Xms -Xmx -XX：PermSize -XX：MaxPermSize）最后一种可能需要调整操作系统和tomcat jvm参数同时调整才能达到目的。

第一种：是堆溢出。

原因分析：JVM堆的设置是指java程序运行过程中JVM可以调配使用的内存空间的设置.JVM在启动的时候会自动设置Heap size的值，其初始空间(即-Xms)是物理内存的1/64，最大空间(-Xmx)是物理内存的1/4。

可以利用JVM提供的-Xmn -Xms -Xmx 等选项可进行设置。

Heap size 的大小是Young Generation 和Tenured Generaion 之和。

在JVM中如果98％的时间是用于GC且可用的Heap size 不足2％的时候将抛出此异常信息。

Heap Size 最大不要超过可用物理内存的80％，一般的要将-Xms和-Xmx选项设置为相同，而-Xmn为1/4的-Xmx值。

没有内存泄露的情况下，调整-Xms -Xmx参数可以解决。

-Xms：初始堆大小-Xmx：最大堆大小但堆的大小受下面三方面影响：1.相关操作系统的数据模型（32-bt还是64-bit）限制；（32位系统下，一般限制在1.5G~2G；我在2003 server 系统下（物理内存：4G和6G，jdk：1.6）测试 1612M，64位操作系统对内存无限制。

apache服务器的课程思政近年来，随着互联网的迅猛发展，服务器的应用日益广泛，成为各个行业的重要基础设施之一。

而Apache服务器作为最流行的开源Web服务器软件之一，具有高效、稳定和安全等优点，成为了各类网站、应用和服务的首选。

在这样一个技术高度发展的时代，我们不能仅仅局限于技术本身，还应该关注更广泛的社会和人文问题。

因此，我们有必要将Apache服务器的课程思政融入其中，以此增强学生的思想道德修养、培养他们的社会责任感和创新精神。

首先，我们要重视Apache服务器的历史渊源和社会背景。

Apache服务器诞生于1995年，而当时互联网的使用和普及尚处于初级阶段。

正是在这个背景下，Tim Berners-Lee等人提出了Web的概念，并创建了第一个Web服务器和浏览器。

通过了解这一过程，我们能够深入了解互联网的起源、发展和重要性，从而更好地理解Apache服务器所承载的意义。

其次，我们要注重Apache服务器的技术特点和优势。

Apache服务器作为开源软件，具有高度的可定制性和扩展性。

它支持多种操作系统和编程语言，并拥有丰富的插件和模块。

通过学习和掌握这些技术特点，学生可以培养出解决问题的能力、创新思维和团队协作精神。

他们还可以学习到开源和共享的理念，以及通过技术的力量为社会做出贡献的价值观。

此外，我们还要关注Apache服务器的安全性和隐私保护。

在当今社会，网络安全问题日益突出，各类黑客攻击和数据泄露事件频频发生。

因此，在教学中我们要重点强调安全性，教授学生如何配置和管理服务器，保护网站和用户的隐私。

同时，我们还要加强道德教育，警示学生不要利用技术进行攻击，要始终坚持合法合规的原则。

最后，我们要将Apache服务器的课程思政与现实问题相结合。

随着云计算和大数据技术的快速发展，服务器的应用越来越广泛。

但与此同时，也带来了更多的能源消耗和环境问题。

因此，在教学中我们要引导学生关注可持续发展和环境保护，鼓励他们研究和开发能源更为高效的服务器架构和技术。