openssl 3漏洞补丁,第五人格pc端启动不了?

1、openssl 3漏洞补丁，第五人格pc端启动不了？

pc端启动不了解决方案如下。

win+e打开文件资源管理器，右键点击此电脑，点击属性，弹出系统窗口。

在系统窗口中点击左侧的高级系统设置。

在高级系统设置中点击高级，点最下方的环境变量。

在环境变量中有用户变量和系统变量俩个板块。在系统变量板块点击新建，在弹出的新建系统变量中输入变量名：OPENSSL_ia32cap 变量值: ～0x200000200000000 再保存就可以了，注意数字和符合都不能输错。

2、php语言网站如何加强安全性？

PHP是一种非常流行之网站脚本语言，但是它本身所固有之安全性是非常薄弱。本文讲述了PHP增强计划（Hardened-PHP project）和新之Suhosi计划，Suhosin提供了增强之PHP之安全配置。

PHP是带有争论地但又是最流行之一种网站脚本语言。它之所以流行，是因为它低廉之价格，然而，这低廉之价格导致用PHP写之网站应用程序越来越多 之同时也越来越多之展现出PHP本身在安全上之脆弱，这种安全特性显示出PHP是极不可靠，不过同时对这个脚本语言本身而言它又是非常灵活之，使用它就能 很容易之实现代码，不过这些代码都是臃肿之且不安全之，虽然是这样它还是一直都拥有很多之使用者。你可以根据实际情况来假设，一次又一次，各种应用软件都 体现了这种脆弱性：容易受到SQL注入、跨站脚本、任意执行指令等等之攻击。

因为象safe_mode和open_basedir这样内置之PHP安全措施将被忽略，PHP增强计划创建之PHP更具有安全性，同时也对PHP 进行校验检查。最初，这些是由增强之PHP补丁完成之，这些补丁需要修补并重新编译PHP自身。最近，PHP增强计划发布了一个名为Suhosin之新工 程。

Sohosin包括有两部分：第一部分是PHP之补丁，这个补丁强化了Zend引擎自身，以免可能产生缓冲溢出，也可以防止相关之弱点。第二部分是 Suhosin之扩展，这是一个PHP之独立使用模块。这两部分可以一起工作，或者是扩展部分单独工作。

开发人员不希望为了达到安全性而总去维护他们自己之PHP安装设置和他们当然更喜欢直接使用销售商提供之Linux分布系统上PHP，使用扩展模块 能提供更多PHP本身所不能具有之安全特点。

扩展模块很容易安装；它也能通过PECL安装，或者是下载后通过编译安装：

$ tar xvzf suhosin-0.9.17

$ cd suhosin-0.9.17

$ phpize

$ ./configure

$ make

$ sudo make install

为了使用suhosin，还需要增加/etc/php.ini，如下所示：

extension=suhosin.so

对于大部分人来说默认之配置选项已经足够了。为了加强设置，可以在/etc/php.ini中增加相应之值。网站中详细地介绍了有关之各种配置选 项，这些说明可以帮助你进行初始化配置。

使用Suhosin，你可以得到一些错误日志，你能把这些日志放到系统日志中，也可以同时写到其他任意之日志文件中去；它还可以为每一个虚拟主机创 建黑名单和白名单；可以过滤GET和POST请求、文件上载和cookie。你还能传送加密之会话和cookie，可以设置不能传送之存储上线等等。它不 像原始之PHP强化补丁，Suhosin是可以被像Zend Optimizer这样之第三方扩展软件所兼容之。

下面是我写的一个操作方法：

wget -c http://soft.vpser.net/web/suhosin/suhosin-patch-5.2.10-0.9.7.patch.gz

gzip -d ./suhosin-patch-5.2.10-0.9.7.patch.gz

cd php-5.2.10

patch -p 1 -i ../suhosin-patch-5.2.10-0.9.7.patch

编译的时候

./configure --prefix=/usr/local/php --with-config-file-path=/usr/local/php/etc --with-mysql=/usr/local/mysql --with-mysqli=/usr/local/mysql/bin/mysql_config --with-iconv-dir --with-freetype-dir --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-dir=/usr --enable-xml --enable-discard-path --enable-magic-quotes --enable-safe-mode --enable-bcmath --enable-shmop --enable-sysvsem --enable-inline-optimization --with-curl --with-curlwrappers --enable-mbregex --enable-fastcgi --enable-fpm --enable-force-cgi-redirect --enable-mbstring --with-mcrypt --enable-ftp --with-gd --enable-gd-native-ttf --with-openssl --with-mhash --enable-pcntl --enable-sockets --with-xmlrpc --enable-zip --enable-soap --without-pear --with-gettext --with-mime-magic --enable-suhosin

把suhosin编译进去就好了

3、有什么办法解决吗？

大规模DDos流量清洗

关于服务器被人攻击的处理，当然先要分两种情况，如果是大规模DDos抢注攻击的话，一般对付办法不多，根本办法是通过运营商做流量清洗，分布式部署系统分流。用一些基于公有云的防护手段（费钱，效果一般般），一些安全公司昂贵的设备（作用也不大，有钱就可以多买）。

一般性防护手段，通过硬防或者软防火墙比如iptables，主要要限制服务器端口访问，除了必须的80，443以外其他端口一律不对外开放。

关于对外开放端口限制和检测的访问，我的原创文章都提过几篇介绍过：

「安全扫描」看好你的大门，企业安全端口扫描实践

基本上就是在外面扫描你服务器ip，看都开了那些端口，对不该开放端口开放的话就封禁掉。主要对外开放的危险端口有 所有udp端口（比如最近大规模针对github的攻击，就用对外开放的memcache udp 11211 udp端口进行的反射式攻击），tcp重点关注端口： 21（ftp），22（ssh） 23（telnet），2181（zookeeper），3306（mysql），6379（redis），8161和61616（mq），11211（memcache），27017/27018（mongodb），9200（elasticsearch）还有其他的根据企业部署情况来增加。

在服务上查看开放的监听端口情况使用命令：

netstat -ntualp

Local地址 类似于 0.0.0.0:3306和 :::22的监听的服务器就要重点关注，一般除了web都不应该对外开放。

对web服务：

1、注意升级所用程序的版本，有漏洞的要及时升级（比如dedecms，struts2的漏洞等），部署的时候注意权限设置，不给多余的权限。

2、部署必要的waf系统，安利下笔者有个开源免费的waf，有需要的可以联系我。

3、部署时候精良先通过CDN或者自己用nginx返乡代理来对用户，不直接把php 应用、tomcat应用服务器对外，这样即可以提高访问效率，增加访问并发，还可以低于短期大流量访问的冲击。

常见异常情况：异常的流量、异常tcp链接（来源端口，往外发的端口）、异常的访问日志（大量的ip频繁的访问个别文件）。

如果部署了监控系统的话（强烈建议部署zabbix，并增加对系统添加专门安全items），可以方便通过zabbix监控图和趋势对比了解这些信息：

利用last，lastb发现异常的用户登录情况，ip来源。

利用lastlog，/var/log/message，/var/log/secure,日志等，是否权限已经被攻陷。

用history 发现shell执行情况信息。

用top，ps，pstree等发现异常进程和服务器负载等情况。

用netstat -natlp发现异常进程情况。用w命令发现当前系统登录用户的情况。

如果发现异常用户，立即修改用户密码，pkill -kill -t tty 剔除异常用户。然后进行进一步处理。

发现异常进程，立即禁止，冻结禁止。

发现一个恶意进程后通过 ls -al /proc/Pid (Pid为具体的进程号)，发现进程的启动路径，启动的文件所在目录等信息。

如果发现异常连接数，通过iptables封禁相关端口或者ip

iptables -I INPUT -s ip -j DROP

iptables -I OUTPUT -p tcp --dport 25 -j DROP

iptables -I INPUT -p tcp --dport 25 -j DROP

对清理移动木马，杀掉进程

首先清理掉木马创建的cron 计划项和启动项。

ls -al /etc/proc/Pid/ 找的恶意木马文件。

恶意进程的执行目录和文件

最后用一条命令 kill -9 所有的进程ID && rm -rf 所有涉及的文件和目录。

更多信息可以关注笔者的文章或者咨询笔者：

「系统安全」当网站发生异常，出现安全事故，如何进行排查处置？

「WEB安全」单行命令查杀Webshell（php为例）

4、如何应对定制开发的app易遭黑客攻击的问题？

什么是定制开发的app？

其实大部分都是外包给网络公司，告诉他们需求，然后他们用html5技术和混合式开发技术开发出来的app。这种app开发方式有个特点就是开发效率快，而且通常是不需要修改多少代码就可以通吃安卓和ios平台。

这样子开发出来的app容易遭受黑客攻击，其实不是app的问题，而是开发人员缺乏安全意识造成的结果。这个问题跟缺乏安全保护的网络程序或者网站易遭受黑客攻击是一样的。app是前端，接受和处理输入的代码在后端。

原生开发的app虽然安全一点，但是依然逃脱不了后端遭攻击的命运。

要提高安全性，降低被黑客攻击的机会，就要提高全体开发人员的安全意识。定期对他们进行安全培训，一个网站究竟在什么地方容易被攻击，写代码的时候，那个地方怎么写才能避免被攻击；什么注入威胁，什么上传威胁，什么跨站脚本威胁，什么目录枚举威胁，什么业务逻辑威胁，该懂都得懂；不仅要懂是什么，还要懂为什么，如何尽力去避免；团队成员统一形成一个代码评估方案，定期对代码进行评估，在关键点有没有做到安全措施；据我的经验，脑子是靠不住的，还是得有评估方案，定期评估，检查，重写！

除了提升代码的安全，对部署代码的服务器也不能放过。要有安全的配置方案，严格依方案行事。能装安全狗就装，能不用的东西就禁用。补丁打齐了。苍蝇不叮无缝的蛋，就是要把蛋缝搞得越少越好。

前端能加密的东西都加密吧。协议能用加密就绝不要裸跑。

他魔高一尺，你就道高一丈！除此之外，就只能烧高香了。