博客 (24)

报道称 NGINX 被曝一组高危漏洞，已潜伏约 18 年，威胁全球约三分之一的网络服务器。

本次曝光的漏洞如下：

CVE-2026-42945 - (9.2 Critical)

CVE-2026-42946 - (8.3 High)

CVE-2026-40701 - (6.3 Medium)

CVE-2026-42934 - (6.3 Medium)

攻击者无需登录认证，只需发送一条特制 HTTP 请求，就能让 NGINX 工作进程崩溃；在合适条件下，还可能拿到服务器远程代码执行权限。

修复方案一

NGINX 升级到 1.31.0 或 1.30.1

修复方案二

若你使用的是 OpenResty 或宝塔面板，没有更新的 nginx 版本选择，那么手动修复此漏洞。

将 rewrite 规则中的未命名正则捕获改成命名捕获。

示例：

原来的写法：

rewrite ^(.*)$ /index.php?s=$1 last;

修改为：

rewrite ^(?<a>.*)$ /index.php?s=$a last;

参考文献：

1. NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability

2. NGINX 曝 9.2 分高危漏洞：潜伏 18 年，威胁全球约 1/3 服务器
   

nginx 配置文件中不能随意嵌套 if，而且 if 中也没有 and 和 or 逻辑，不过可以借用变量来实现：

set $a "";
if ($request_uri ~* "action=postreview") 
{
   set $a "${a}1";
}
if ($http_referer !~* "^https?://([^/]+\.)?domains\.com([:/?#]|$)") 
{
   set $a "${a}1"; 
}
if ($a = '11')
{
    return 403;
}

fastcgi...

上例中实现了 url 中包含 action=postreview 且来源不是本站的情况拒绝访问。

一般放在 fastcgi 所在 location，譬如宝塔面板的 enable-php-xx.conf 文件中。

确保已正确配置环境网站项目。

-----------------------------------------

2025/11/3 启动失败，查到项目日志过大（位于 F:\www\wwwlogs\net），清除后正常启动。

-----------------------------------------

不定时更新。

.NET 项目发布到 Linux / CentOS / nginx 上，调用 RedirectToAction 方法跳转到 127.0.0.1:443，而不是正在访问的域名，怎么办？

打开该网站的 nginx 配置文件，找到反射代理配置（proxy_pass），将：

proxy_set_header Host 127.0.0.1:$server_port;

改为

proxy_set_header Host $host;

早前记录过在 CentOS 中部署 ASP.NET Core 网站，现在宝塔面板已经直接支持创建 .NET 网站了，再次记录一下。

本文环境：VS2022、.NET 9、宝塔面板v11。

一、在 VS 中创建一个 .NET 9 网站，项目名称例：WebApplication1

发布选项：

关于“生成单个文件”选项，若勾选，发布后的项目启动文件不带后缀名（.dll），尝试在宝塔面板 v11.0.0 中无法顺利启动。

二、在 Linux 服务器上创建目录：/www/wwwroot/WebApplication1/

将发布后的文件上传到这个目录上，最终的文件结构如下：

三、进入宝塔面板，在 网站-Net项目 中安装 .Net环境管理，这里以 9.0.201 为例：

四、添加项目

项目名称：随意

运行路径：项目所在目录，本例中为：

/www/wwwroot/WebApplication1

启动命令：使用 dotnet 命令，dotnet 命令可以不使用全路径（/www/server/dotnet/9.0.201/dotnet），第一个参数是项目启动文件，--urls 是反向代理的服务器和端口。服务器名可以是*也可以是localhost。例：

dotnet WebApplication1.dll --urls=http://*:5000

项目端口：与启动命令中的端口号一致

开机启动：一般会勾选

启动用户：尽量用 www，最小权限原则。

正常情况下，网站已启动，如果未启动，检查配置，根据报错内容排查问题。

五、配置网站

添加域名、SSL 证书等。

友情提示：

• 网站版本更新重新发布后，需要手动重启网站才能生效，习惯于发布到 IIS（会自动生效）的同学要特别注意。

• 新手尽量以空项目或默认项目来部署，避免因特殊原因导致一系列其它问题。

• nginx 反向代理并不会转发所有 Header，需要手动配置。

http {
    ...

    lua_shared_dict cpu_cache 1m;  # 定义共享字典用于缓存 CPU 使用率
    access_by_lua_block {
        local cpu_cache = ngx.shared.cpu_cache
        local cache_time = cpu_cache:get("cache_time") or 0
        local current_time = ngx.now()

        if current_time - cache_time > 5 then  -- 每 5 秒更新一次
            local cpu_info = io.popen("top -bn1 | grep 'Cpu(s)'"):read("*all")
            local cpu_usage = cpu_info:match("(%d+%.%d+) id")  -- 获取空闲 CPU 百分比
            local cpu_used = 100 - tonumber(cpu_usage)  -- 计算使用率

            cpu_cache:set("cpu_usage", cpu_used)
            cpu_cache:set("cache_time", current_time)
        end

        local cpu_usage = cpu_cache:get("cpu_usage")
        ngx.log(ngx.INFO, "CPU 使用率: " .. cpu_usage .. "%")
        -- 将 cpu_usage 发送到远程鉴权接口，可根据服务器压力来决定是否拒绝一些不重要的请求
    }
}

代码解析：

共享字典：使用 lua_shared_dict 定义一个共享字典 cpu_cache，用于存储 CPU 使用率和缓存时间。

获取 CPU 使用率：在 access_by_lua_block 中，检查缓存时间，如果超过 5 秒，则重新获取 CPU 使用率，并更新共享字典。

记录日志：使用 ngx.log 将 CPU 使用率记录到 Nginx 日志中。

注意事项：

确保 Nginx 配置中已经加载了 Lua 模块（如 ngx_http_lua_module）。

根据实际需求调整缓存时间，以平衡性能和数据的实时性。

尝试过使用 ifconfig 或 ip 命令获取网卡流量，在宝塔面板中失败了，怀疑是权限问题，有空再研究。临时方案是鉴权接口定时调用宝塔面板 API 或阿里云控制台 API 来获取 ECS 的 CPU 和带宽使用率。

如何配置 nginx 远程鉴权

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   #resolver 223.5.5.5; # cat /etc/resolv.conf
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，推荐使用接入商自己的公共 DNS，如果走内网，推荐使用本机 DNS。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

6. 若 WAF 返回拒绝访问时需要 302 跳转（即 return ngx.redirect(...)），那么最好加上禁止缓存的标识，防止 CDN 污染：

   if res and res.status == 403 then
       -- ===== 禁止 CDN 缓存此响应 =====
       ngx.header["Cache-Control"] = "no-store, no-cache, must-revalidate, proxy-revalidate"
       ngx.header["Pragma"] = "no-cache"
       ngx.header["Expires"] = "0"
       -- 可选：添加标记头，方便调试
       ngx.header["X-WAF-Action"] = "blocked"
       return ngx.redirect("https://...")
   end

1. 安装 OpenResty

   在 宝塔面板 - 软件商店 中搜索 nginx，安装版本选择 openresty 版

   
   

2. 安装 LuaRocks

3. 安装 resty.http

   luarocks install lua-resty-http

4. 检测已安装的组件

   nginx -v
   lua -v
   openresty -v
   luarocks --version

5. 测试代码

   access_by_lua_block {
       local http = require("resty.http")
   }

   或

   access_by_lua '
       local http = require("resty.http")
   ';

鉴权方式有许多，譬如可以用 lua 的 access_by_lua 来实现，这里用 nginx 自带的 auth_request，虽然功能简单，但效率更高。

第一步，确保 nginx 已编译安装 auth_request 模块，见此文。

第二步，打开需要鉴权的网站的 nginx 配置文件，添加以下代码块：

    #鉴权-START
    location / {
        auth_request /auth;
        error_page 403 = @error403;
        
        #PHP-INFO-START  PHP引用配置，可以注释或修改
        include enable-php-**.conf;
        #PHP-INFO-END
    }
    location = /auth {
        internal;
        proxy_pass https://鉴权地址;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header User-Agent $http_user_agent;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_intercept_errors on;
        #proxy_read_timeout 1s; # 超时会报 500
    }
    location @error403 {
        #default_type text/plain;
        #return 403 'forbidden';
        return 302 https://一个显示403友好信息的页面.html;
    }
    #鉴权-END

一般放在所有的 location 之前。

这里自定义请求头 X-Forwarded-Host 与 X-Forwarded-Uri 用来传递 host 与 uri。API 应从 Header 中相应取值。

宝塔面板中是通过 include enable-php-**.conf; 的方式调用 PHP ，那么可以将此行移入上面的 location / 代码块中，因为此代码块能匹配所有的请求路径。

最后，若鉴权接口在私网中，将鉴权接口域名和私网 IP 添加到 hosts 文件中。

首先使用命令查看是否已安装所需要的模块

nginx -V

若没有找到需要的模块，则需要编译安装。但是宝塔面板中安装的 nginx 如果像自行安装的 nginx 一样的方式去编译可能会出问题。宝塔面板有自己的添加模块方式。

在宝塔面板的软件商店找到 nginx，如果已安装则需要先卸载，卸载不会删除已有网站的配置文件（保险起见可以先备份一下），且安装时原有的模块不需要重新填写。

选择编译安装，添加自定义选装模块：

以添加“--with-http_auth_request_module”模块为例，名称按格式填写即可，模块参数填写--with-http_auth_request_module，如添加其它模块，按需填写前置脚本。添加完成后，启用它：

开始安装，等待完成。