Nginx爆出新漏洞，谨防“拖库”风险

    博主还清晰的记得2011年末爆发的拖库事件，多家互联网站被黑客公开用户数据库，超过5000万个用户帐号和密码在网上流传。2011年12月21日，某专业网站数据库开始在网上被疯狂转发，包括600余万个明文的注册邮箱和密码泄露，大批受影响用户为此连夜修改密码。此后，有黑客在网上公开提供CSDN网站用户数据库下载后，包括人人网、猫扑、多玩等在内的网站部分用户数据库也被传到网上供用户下载，从而将2011年末的密码危机推向高峰。随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。

    近日，据瑞星互联网攻防实验室出具的一份报告显示，国际知名的服务器Nginx存在缓冲区溢出漏洞，目前利用该漏洞进行网络攻击的恶意程序已经在互联网上出现。届时，使用Nginx服务器的互联网平台将面临用户信息被盗、商业机密泄露等危险。据悉，Nginx是一款轻量级高性能的HTTP和反向代理服务器。由于性能强大、系统资源消耗低、运行稳定等特点，使得许多大型门户网站都使用该产品作为Web服务器或反向代理服务器。目前，已有100多万家网站在使用Nginx服务器，其中不乏包括新浪、网易、腾讯、豆瓣、迅雷在线等在内的多家大型互联网平台。

    得知这个消息后，博主确实捏了一把冷汗，还好瑞星互联网防攻实验室在第一时间发现了新漏洞，并进行安全提示，防止产生更恶劣的后果，不愧为安全行业的领导者。作为国内最大的信息安全厂商，技术实力确实远远领先于其他厂商。瑞星安全专家提醒广大网站管理员及时到Nginx的官方网站下载最新的补丁程序以避免可能遭遇的“拖库”威胁。

    另外，除了相关网站加强安全保护以外，用户在上网的时候也要加强自我安全保护意识，博主建议以下几点防止拖库：

    第一，分级管理密码，重要帐号（如常用邮箱、网上支付、聊天帐号等）单独设置密码。
    第二，定期修改密码，可有效避免网站数据库泄露影响到自身帐号。
    第三，工作邮箱不用于注册网络帐号，以免密码泄露后危及企业信息安全。
    第四，不让电脑自动“保存密码”，不随意在第三方网站输入帐号和密码；即便是个人电脑，也要定期在所有已登录站点手动强制注销进行安全退出。

    相信做到了以上几点后，您的电脑就会在很大程度上免于“拖库”的风险了。当然，我们也要在日常的使用电脑过程中养成良好的防病毒经验，使用像瑞星这样优秀的企业信息整体解决方案和优质的技术服务支持，捍卫我们互联网的信息安全。（文/王易见）

我的联系方式：
QQ 543415188