如果你的nginx使用的是动态的openssl库，直接升级openssl，如果你的nginx使用的是静态的openssl库，那就要重新编译安装nginx。 PHP编译修复1. nginx使用的是动态的openssl库,直接升级openssl    1.1 源码安装openssl1.0.1g版本        先下载openssl 1.0.1g版本，命令如下：            #wget  -c            再下载这个版本的md5校验包：            #wget -c          然后校验下的openssl包是否被恶意修改过：            #md5sum openssl-1.0.1g.tar.gz | awk '{print $1;}' | cmp - openssl-1.0.1g.tar.gz.md5        如果校验没问题，再接着解压包，命令：            #tar   -zvxf      openssl-1.0.1g.tar.gz    //解压openssl-1.0.1g.tar.gz        进入这个解压缩的目录：            #cd   openssl-1.0.1g        输入下面的命令进行编译，安装，我直接设置了一些重要的参数，因为其他的参数对于我来说就根本没用。如果需要参数，自己添加就是。输入：            #./config shared zlib  && make && make install        或者你什么参数都不加，完全用默认的：            #./config  && make && make install        话大概五六分中编译安装完。没出问题的话，继续输入下面的命令，手动软链新的openssl二进制文件：            ln –s /usr/local/ssl/bin/openssl /usr/bin/openssl            ln –s /usr/local/ssl/include/openssl /usr/include/openssl         配置库文件搜索路径：            #echo  "/usr/local/ssl/lib"  >>  /etc/ld.so.conf            #ldconfig -v        最后重启下服务器(重启进程麻烦的)，输入：            #reboot        重启后，输入下面的命令检测下openssl 的版本：            #openssl   version        显示：            OpenSSL 1.0.1g 7 Apr 20142. nginx使用的是静态的openssl库,重新编译安装nginx    2.1 概述    当前爆出了Openssl漏洞，会泄露隐私信息，涉及的机器较多，环境迥异，导致修复方案都有所不同。    不少服务器使用的Nginx，是静态编译 opensssl，直接将openssl编译到nginx里面去了，这就意味着，单纯升级openssl是没有任何效果，Nginx不会加载外部的 openssl动态链接库的，必须将nginx重新编译才可以根治。     2.2 识别Nginx是否是静态编译的        以下三种方法都可以确认Nginx是否静态编译Openssl。            1) 查看Nginx编译参数                输入以下指令，查看Nginx的编译参数:                # ./sbin/nginx -V                如果编译参数中含有--with-openssl=...，则表明Nginx是静态编译Openssl，如下所示：                nginx version: nginx/1.4.1                built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)                TLS SNI support enabled                configure arguments: --prefix=/opt/app/nginx --with-http_ssl_module --with-openssl=/opt/app/openssl-1.0.1e --add-module=/opt/app/ngx_cache_purge-2.1            2) 查看Nginx的依赖库                为进一步确认，可以查看一下程序的依赖库，输入以下指令：                 # ldd `which nginx` | grep ssl                显示                libssl.so.10 => /usr/lib/libssl.so.10 (0xb76c6000)                注意：如果输出中不包含libssl.so的文件()，就说明是静态编译的Openssl的                再输入命令以确定openssl以确定库所属的openssl版本，但是不会太详细，比如本应该是1.0.1e.5.7，但是却只输出1.0.1e：                # strings  /usr/lib/libssl.so.10 | grep "^OpenSSL "                OpenSSL 1.0.1e-fips 11 Feb 2013            3) 查看Nginx打开的文件                也可以通过查看Nginx打开的文件来查看是否静态编译，输入以下指令：                # ps aux | grep nginx                # lsof -p 111111<这里换成Nginx的进程PID>  | grep ssl                如果没有打开Openssl的库文件，就说明是静态编译Openssl的，如下图所：                20140411213555359    2.3 重新编译Nginx    参考《》3 php编译时，是否制定了openssl目录    我们直接查看php探针，就是<?php phpinfo(); ?> 保存到info.php。    浏览器打开info.php 看显示openssl 那几栏，如下：    openssl    OpenSSL support     enabled    OpenSSL Library Version     OpenSSL 1.0.1g 7 Apr 2014    OpenSSL Header Version     OpenSSL 1.0.1g 7 Apr 2014    如果不是1.0.1g版本，那就重新编译下php。指定openssl的目录。    可以使用下面的命令，查看php版本和编译参数：    #php   -v     #查看php版本    # /usr/local/php/bin/php -i | grep configure   #查看php编译所用的参数    用这个命令显示的编译结果都有单引号包住了，要删掉。同时将其中的--with-openssl  改为：    --with-openssl=/usr/local/ssl/    然后重新编译即可，只是编译参数变了，但不改变php的版本。