这是一个创建于 2723 天前的主题,其中的信息可能已经有所发展或是发生改变。
服务器躲在 CloudFlare 后面的,每天各种不正经请求都有:
HEAD http://101.122.123.71/check_p*o*y
GET /HNAP1/ HTTP/1.1
\x43\x12\xa1\x0c
GET /robots.txt等等等等,UserAgent 更是不计其数,国内外来自全世界的 IP 都有,处理这些东西真的累。
fail2ban 这种亡羊补牢型不喜欢,有没有什么可以防患于未然型的解决方案呢,求推荐。
用的是 nginx,现在想法是给 nginx 设置 UserAgent 白名单,不在白名单以外的 UA 以及非 HTTP 请求一律不相应,不知道有这种插件吗?
另外求一下大家觉得好的 nginx 配置相关的实体书,谢谢
第 1 条附言 · 2018-05-18 19:51:19 +08:00
沉了吧这帖子,我知道 ssh dns 这些常用端口被扫是正常的,暴破也是可能的。需要直连这台机器,所以 iptables 白名单 CF IP 不可行,fail2ban 这种亡羊补牢的也不合适(后期需要处理 nginx 的 log)。目前看的两个方案:一个是 abuseipdb 的服务,但他们家没提供数据库下载,只有个 API 目前还不知道怎么整合到 nginx 中;第二个方案是类似 port knocking 的思路,因为访问的 client 的 User Agent 差不多是固定的,所以根据 UA 来控制可以,但是没有找到有合适的插件( UA 不对直接不响应,而不是返回 404/403 这种。)
(服务器只开放给特定人群,所以并不在乎封锁所造成的体验问题,还是考虑安全第一,感谢提出以上建议的几位)
(服务器只开放给特定人群,所以并不在乎封锁所造成的体验问题,还是考虑安全第一,感谢提出以上建议的几位)
 |
1
zktz 2018-05-18 14:03:51 +08:00 via Android
这个对你没什么影响吧
|
 |
2
745839 2018-05-18 14:07:26 +08:00
有什么可处理的?楼主刚接触网络吗?网络上 24 小时不间断的有肉鸡在扫描各个服务的端口,各服务的弱口令。
|
 |
3
whypool 2018-05-18 14:08:45 +08:00
正常操作,没啥大惊小怪的
|
 |
4
miyuki 2018-05-18 14:13:42 +08:00 via Android
没啥大惊小怪的,爬虫和各种各样的爆破太多了
|
 |
5
userlol OP |
 |
6
skylancer 2018-05-18 14:17:14 +08:00
WAF
|
 |
7
zsdroid 2018-05-18 14:20:14 +08:00
防患于未然型的解决方案??很简单啊,把服务器搭建在局域网就好了。
|
 |
8
Greenm 2018-05-18 14:27:39 +08:00
既然放在公网那就要做好被全世界访问的准备。
就算你把奇怪的 useragent 全都过滤掉了,剩下的一样有机器扫描。 |
 |
9
Shirakawa 2018-05-18 14:27:58 +08:00
if ($http_user_agent ~* (curl|bot|Python|sql|php)) {
return 403; } |
|
12
Shirakawa 2018-05-18 14:36:56 +08:00
把 403 改成 444 ?
|
|
13
745839 2018-05-18 14:37:28 +08:00
等你看到扫描你的 22 或者 3389 你是不是又无奈了?
等你看到盲注是不是又无奈了? 等你看到 wget web.rar/wwwroot.rar/www.rar 是不是又无奈了? 网络上充斥着各种各样的扫描爆破嗅探 |
 |
14
ifaii 2018-05-18 14:49:20 +08:00 via iPhone
正常操作 不要慌
|
 |
15
qf19910623 2018-05-18 14:54:29 +08:00  1
你在街边造了一栋房子,你可以给门加锁不让人进来,但是你阻止不了路人跑来敲门
|
 |
16
giuem 2018-05-18 14:57:49 +08:00 via iPhone
就不能设置只允许 CloudFlare 的 IP 访问
|
 |
17
Lanke0 2018-05-18 14:58:15 +08:00
@qf19910623 搞个围墙
|
 |
19
cjpjxjx 2018-05-18 15:04:25 +08:00 via Android
就像你走在大街上,你是无法避免各种各种的人看你的,只要别人不打你不碰你,那就随他去看呗,想要不被人看,那就把自己锁在家里(关闭所有进出端口)
|
 |
20
TheKiller 2018-05-18 15:12:27 +08:00
仅允许 CloudFlare 的 IP 段访问
|
 |
21
Phasma 2018-05-18 15:12:30 +08:00
关了 只开 443
|
 |
22
nicevar 2018-05-18 15:50:50 +08:00
80 端口你都不想给人扫那你开这个端口干啥?
|
 |
23
hangzhoupm 2018-05-18 15:54:36 +08:00
屏蔽 80 端口
|
 |
24
affyun 2018-05-18 15:58:27 +08:00 via Android
赶紧关机保平安
|
 |
25
Hopetree 2018-05-18 16:15:34 +08:00
user-agent 伪装这么容易,你设置这个白名单根本没用,IP 也可以代理,但是如果你发现大量来自同一个 IP 的请求倒是可以先屏蔽 IP
|
 |
26
kennylam777 2018-05-18 16:21:54 +08:00 1
都用了 Cloudflare, 完整的 IP 白名單方案都有了
https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-Cloudflare-s-IP-addresses-in-iptables- |
 |
27
Felldeadbird 2018-05-18 17:01:38 +08:00
我觉得楼上说得的都不靠谱。
楼主把 nginx 的 listen 80; 改成 listen 801; 。 妥妥以后没人扫了! |
 |
28
annielong 2018-05-18 17:03:50 +08:00
以前用友弱密码刚开放公网访问不到 5 分钟,密码就被改了,还好数据没有被删
|
 |
29
15vnetwork 2018-05-18 17:11:25 +08:00
我的服务器 80 也是天天给人扫描, 不过你开放 80 端口就是给人访问的. 封 IP 也不是终极解决办法, 扫描我服务器的 IP 地址天天都在变, 而且封 IP 有可能会影响用户体验, 只要你的服务器没有什么漏洞, 就不要怕
|
 |
30
aiseo 2018-05-18 17:12:20 +08:00 1
<img src="https://i.loli.net/2018/05/18/5afe98c91517f.png" alt="QQ 截图 20180518181056.png" title="QQ 截图 20180518181056.png" />
不知道适合楼主吗 |
|
32
aiseo 2018-05-18 17:16:44 +08:00
<p><img src="https://i.loli.net/2018/05/18/5afe98c91517f.png"/> </p>
|
 |
33
afpro 2018-05-18 17:17:11 +08:00
这个还守规矩的先取了你的 robots.txt 你还想怎样啊。。。。。。
|
|
34
aiseo 2018-05-18 17:18:04 +08:00
歪个楼,v2 怎么贴图。。。。
|
 |
35
thynson 2018-05-18 17:19:36 +08:00
这位同学怕是对 Web 服务有什么误解
|
 |
36
wly19960911 2018-05-18 19:56:08 +08:00 via Android 1
@aiseo 用微博和 imgur 的图库,chrome 下载一个 V2EX 的扩展就可以很方便玩了
|
 |
37
HarrisonZ 2018-05-18 20:34:26 +08:00
waf
|
 |
38
wezzard 2018-05-19 11:56:36 +08:00
你可以自己寫一個腳本讓服務器啓動的時候自動添加 CloudFlare 的 IP 地址進白名單。如果你是 FreeBSD + ipfw 的話我可以提供一個範例。
|
 |
39
matsuz 2018-05-19 12:55:50 +08:00
可以只对限定的 Host 提供服务,请求其他 Host 的一律让 NGINX 返回 444 断开连接,按理来说这样只要不是定向爬虫都可以过滤掉了
|
Select Language