专栏首页膨胀的面包Nginx常用屏蔽规则,让网站更安全

Nginx常用屏蔽规则,让网站更安全

前言

Nginx (engine x) 是一个高性能的 HTTP 和反向代理服务,目前很大一部分网站均使用了 Nginx 作为 WEB 服务器,Nginx 虽然非常强大,但默认情况下并不能阻挡恶意访问,这里有一份常用的 Nginx 屏蔽规则,希望对你有所帮助。

在开始之前,希望您已经熟悉 Nginx 常用命令(如停止、重启等操作)及排查 Nginx 错误日志,以免出现问题不知所措。如无特殊注明,以下的命令均添加到 server 段内,修改 Nginx 配置之前务必做好备份,修改完毕后需要重载一次 Nginx,否则不会生效。

防止文件被下载

比如将网站数据库导出到站点根目录进行备份,很有可能也会被别人下载,从而导致数据丢失的风险。以下规则可以防止一些常规的文件被下载,可根据实际情况增减。

location ~ \.(zip|rar|sql|bak|gz|7z)$ {
  return 444;
}

屏蔽非常见蜘蛛(爬虫)

如果经常分析网站日志你会发现,一些奇怪的 UA 总是频繁的来访问网站,而这些 UA 对网站收录毫无意义,反而增加服务器压力,可以直接将其屏蔽。

if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
     return 444;
}

禁止某个目录执行脚本

比如网站上传目录,通常存放的都是静态文件,如果因程序验证不严谨被上传木马程序,导致网站被黑。以下规则请根据自身情况改为您自己的目录,需要禁止的脚本后缀也可以自行添加。

#uploads|templets|data 这些目录禁止执行PHP
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
    return 444;
}

屏蔽某个IP或IP段

如果网站被恶意灌水或 CC 攻击,可从网站日志中分析特征 IP,将其 IP 或 IP 段进行屏蔽。

#屏蔽192.168.5.23这个IP
deny 192.168.5.23;
#屏蔽192.168.5.* 这个段
deny 192.168.5.0/24;

其它说明

再次强调,修改 Nginx 配置之前务必做好备份,修改完毕后需要重载一次 Nginx,否则不会生效。

上面大部分规则返回 444 状态码而不是 403,因为 444 状态码在 Nginx 中有特殊含义。Nginx 的 444 状态是直接由服务器中断连接,不会向客户端再返回任何消息,比返回 403 更加暴力。若有不足还请补充和指正。

via: Nginx常用屏蔽规则,让网站更安全 | 喵斯基部落 https://www.moewah.com/archives/1796.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 行之有效的屏蔽恶意 URL 请求的方法分享

    说起恶意 URL 请求(Malicious URL request)可能很多老站长们应该都知道,URL 恶意请求对于网站来说是很正常的一种“黑客行为”,大家都知...

    明月云服务
  • Fail2Ban 使用技巧和心得汇总

    通过【使用 Fail2Ban 保护 Nginx、WordPress 简单又高效】一文的梳理,明月基本上已经是彻底的明白和吃透了 Fail2Ban 的原理了,说白...

    明月云服务
  • Nginx配置访问控制

    基于用户的basic认证访问控制 在nginx使用过程中,搭建了很多个站点,但是其中,有些站点不想被其他人访问,因此我们可以在nginx中为全部站点或某个站点设...

    剧终
  • 5G时代,URL Rewrite 还吃香吗

    URL Rewrite是网站建设中经常用到的一项技巧,通过 rewrite 我们能够屏蔽服务器运行态的信息,包括服务的程序、参数等等,给用户呈现美化后的URL,...

    大江小浪
  • 几种方法有效屏蔽国外IP恶意扫描

    最近有朋友说,查看nginx访问日志,发现大量的恶意扫描,分析发现比正常业务访问量都大,且IP大部分来自国外,服务器用的按量付费,这刷的都是白花花的银子,想问下...

    李俊鹏
  • PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

    最近在折腾网站 XSS 漏洞修复的时候,当我把 XSS 漏洞和谐成功之后,360 扫描送来了一个"彩蛋": ? ? ? 本以为又是 360 误报,结果点击看了下...

    张戈
  • Linux下防御DDOS攻击的操作梳理

    DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请...

    洗尽了浮华
  • linux防止恶意采集攻防战

      知道了原因就比较好办了,屏蔽那些ip段应该就太平了。将log日志中的ip地址提取出来(剔除本地ip、搜索引擎蜘蛛ip、目标市场ip),然后找这些ip的规律,...

    ytkah
  • wordpress IP黑名单插件:IP Blacklist Cloud屏蔽攻击者IP让网站更安全

    根据登录页面的访问记录,可以发现很多常见的spam用户名,比如admin、admin123和你站点的域名,当然你的作者名称也不会被放过,因为WordPress默...

    zhangdd
  • nginx安全加固心得

    nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。 本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固w...

    后端技术探索
  • CentOS7安装维护nginx从入门到精通

    Nginx 是一款面向性能设计的 HTTP 服务器,能反向代理 HTTP,HTTPS 和邮件相关(SMTP,POP3,IMAP)的协议链接。并且提供了负载均衡以...

    小弟调调
  • nginx反向代理https网站 并实现网站的注册和登录功能

    image.png 最近给我们官网做了新加坡、香港、美国、加拿大地区的反代,由于现阶段发展有限,只好选择这种最节约的方法了,但并非负载均衡,负载均衡等后期商城确...

    速企云
  • ☀️全网唯一万字长文讲解Nginx安装运营维护☀️《❤️记得收藏❤️》

    Nginx 是一款面向性能设计的 HTTP 服务器,能反向代理 HTTP,HTTPS 和邮件相关(SMTP,POP3,IMAP)的协议链接。并且提供了负载均...

    苏州程序大白
  • nginx屏蔽ip

    马哥linux运维 | 最专业的linux培训机构 ---- 采集和防止采集是一个经久不息的话题,一方面都想搞别人的东西,另一方面不想自己的东西被别人搞走。 ...

    小小科
  • ☀️全网唯一万字长文讲解Nginx安装运营维护☀️《❤️记得收藏❤️》

    苏州程序大白
  • COS+CDN实现游戏客户端版本文件多快好省分发

    游戏日常运营中,每次发版都需要玩家启动客户端时更新版本、参数文件、和更新内容等。有些文件因为逻辑不能被缓存,一旦有要求,玩家必须拿到最新版本。在以往我们常用多台...

    运盐君
  • 利用Nginx反向代理来简单镜像HTTP(S)网站的方法

    然后访问你的域名看一看是否成功镜像,需要注意的一点是,如果被镜像的网站设置了防盗链,那么静态文件(js/css/图片)可能无法显示,这就没办法了。

    用户4988085
  • 可能是目前全网最好的全平台去广告指南,让你从此告别广告的烦恼!( 强烈建议收藏 )

    广告营收占据了 Google 利润的大部分,然而 Google 却在自家的浏览器 Chrome 中加入了去广告功能并默认开启。

    iMike
  • Linux如何屏蔽国外IP-宝塔如何屏蔽国外IP-appnode如何屏蔽国外IP

    自己做了个论坛,论坛里面发了一个cc工具,有人用我发的工具打我论坛,都是国外流量,很强的,基本秒杀我,当时没有做策略服务器硬抗,只是变慢了。

    开心分享

扫码关注云+社区

领取腾讯云代金券