Вопросы Теги

Почему мой nginx сервер получает запросы, предназначающиеся для ads.yahoo.com?

ПОСТФИКС является самим smtp сервером. Вы не должны будете устанавливать ничто больше.

http://www.postfix.org/SMTPD_ACCESS_README.html

4
задан 7 February 2014 в 14:01
1 ответ

Похоже, они пытаются использовать ваш веб-сервер в качестве открытого прокси . Пока вы не видите, что ваши серверы отвечают 200 OK , вам не стоит беспокоиться.

ОБНОВЛЕНИЕ:

Хотя могут быть способы справиться с этим с помощью встроенных функций nginx, Мне было проще установить / включить mod_security и позволить ему справиться с этой и другими неприятными атаками. Как вы увидите в журналах ниже, кто-то пытается получить доступ к Википедии через мой сервер, mod_security знает, что это аномалия, и предпринимает соответствующие действия (возвращает 403 запрещенный ответ). Это сервер Apache, но он должен быть точно таким же в nginx. 

--817ee627-A--
[03/Feb/2014:22:26:01 +0300] Uu-tScDjiOsAAALeENQAAAAA 178.19.107.26 52735 1.2.3.4 80
--817ee627-B--
GET http://wikipedia.pl HTTP/1.1
Host: wikipedia.pl
Accept: */*
Proxy-Connection: Keep-Alive

--817ee627-F--
HTTP/1.1 403 Forbidden
Content-Length: 202
Connection: close
Content-Type: text/html; charset=iso-8859-1

--817ee627-E--

--817ee627-H--
Message: Access denied with code 403 (phase 1). Match of "rx ^(?i:(?:[a-z]{3,10}\\s+(?:\\w{3,7}?://[\\w\\-\\./]*(?::\\d+)?)?/[^?#]*(?:\\?[^#\\s]*)?(?:#[\\S]*)?|connect (?:\\d{1,3}\\.){3}\\d{1,3}\\.?(?::\\d+)?|options \\*)\\s+[\\w\\./]+|get /[^?#]*(?:\\?[^#\\s]*)?(?:#[\\S]*)?)$" against "REQUEST_LINE" required. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_20_protocol_violations.conf"] [line "52"] [id "960911"] [rev "2"] [msg "Invalid HTTP Request Line"] [data "GET http://wikipedia.pl HTTP/1.1"] [severity "WARNING"] [ver "OWASP_CRS/2.2.6"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/INVALID_REQ"] [tag "CAPEC-272"]
Action: Intercepted (phase 1)
Stopwatch: 1391455561096692 260049 (- - -)
Stopwatch2: 1391455561096692 260049; combined=104238, p1=104194, p2=0, p3=0, p4=0, p5=43, sr=104028, sw=1, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.3 (http://www.modsecurity.org/); OWASP_CRS/2.2.6.
Server: Apache
Engine-Mode: "ENABLED"

* 1.2.3.4 = Я заменил свой IP-адрес на этот поддельный IP. Мне больше не нужны странные пакеты, стучащиеся в мою дверь :)

7
ответ дан 3 December 2019 в 02:58

Теги

Похожие вопросы