当心nginx使用location屏蔽目录执行权限不起作用

朋友的服务器被挂马了，检查了一下他的安全配置，发现了这个问题，说是跟着网上的教程自己捣鼓的。

比如使用如下代码屏蔽uploadfile目录下的php执行权限将有可能会不起作用：

location ~* ^/(uploadfile|statics)/.*\.(php|php5)$ {return 404;}

这种情况多出现于开启了vhost功能，比如使用了类似宝塔等的面板。

问题是，你照着网上所谓的教程配置好nginx的安全项目后，有没有去测试过？网上发教程的人，你们的东西，是自己写的亲测的，还是抄来的？很多真的是一本正经的胡说八道。

它生效的前提，是必须放在如下代码的前面：

location ~ .php$ { 
    try_files $uri /404.html; 
    fastcgi_pass 127.0.0.1:9000; 
    fastcgi_index index.php; 
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
    include fastcgi_params; 
}

完整示例：

location ~* ^/(uploadfile|statics)/.*\.(php|php5)$ {return 404;}
location ~ .php$ { 
    try_files $uri /404.html; 
    fastcgi_pass 127.0.0.1:9000; 
    fastcgi_index index.php; 
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; 
    include fastcgi_params; 
}

如果是宝塔面板，单独配置某个站点的访问的时候，折行代码只有写在root字段之后才会起作用，如果你把它写到了注释中“禁止访问的文件或目录”这里，那么它必然是不会生效的。

当然，也有其他的解决办法：

if ( $uri ~* ^/uploadfile.*\.php$) 
{
    return 404;
}

这写在下面是可以的。

所以，如果你真的没舍得花钱去做安全防护这块，配置好以后，请你自己测试以下自己的配置是不是真的生效了，别等到被攻击了损失已经产生了，再追悔莫及。因为现在黑客的攻击可能都是自动化的了，一旦攻击成功，云端都会记录你服务器的特征，你还原都没用，下次再攻击你就是秒破。而你重装系统重新部署业务系统的损失谁来承担？

现在朋友的服务器是恢复了，但是那个攻击他的黑客使用的自动化工具还在操控着全球的肉鸡不停尝试继续攻击他的服务器。

如果帮助到了你，请支持一下。