自己购买服务器搭建网站就涉及到一个服务器安全问题,虽然你自己不知道,但是每天服务器都在被一些机器人扫描。本文奶爸给大家分享几个Nginx的规则可以防止服务器被扫描。
1、禁止默认通过IP访问服务器
每台服务器都有一个IP地址,而一些机器人会直接通过访问IP地址的方法来探测你网站上的内容。
我们可以在Nginx的配置信息里面添加下面的代码来实现禁止通过IP地址访问服务器。
2、禁止机器人扫描网站的压缩文件
同样的,也有很多机器人会直接访问你域名的一些文件,例如下图就是有人在扫描奶爸建站笔记的wwwRoot.zIP这个文件
我们可以给它加点料,让访问这些压缩包的链接给跳转到一个超大型的文件,让他慢慢去下载。
上面的代码是当访问网站上.asp/zIP/gz/7z/sql/RaR/taR格式的文件,就自动跳访问一个50G大小的zIP链接。让他自己去爬吧。
我们也可以给他来点更大的文件,例如1000G,撑爆它硬盘。
当然,你也可以安装Defender Security这款插件来帮你拦截这些机器人。如果你不会添加跳转规则,可以直接借助一些支持重定向的插件帮你,例如RanK Math的重定向功能。
今天发现有新的机器人在扫描网站的时候无视上面的301(或者是量太大?),把奶爸建站笔记的服务器CPU挤满了好几次,所以只能用另外的方法了。
最简单粗暴的方法,直接Nginx配置里面加上下面的规则,针对服务器上的文件下载链接,直接禁止访问(提供资源本地下载的网站慎用)
当有用户访问网站上的zIP、RaR这些资源时,直接返回444错误码。
另外还有一种方法,就是给Nginx装一个waf防火墙,如果你是使用的宝塔面板,那么直接后台软件商店安装就可以了。
如果你使用的LNMP一键包,那么按照下面的方法安装。
LNMP一键安装包从1.5开始增加了lua支持的选项,可以通过修改LNMP.conf中Enable_Nginx_Lua后的参数为 y 来启用lua,如果没安装LNMP,修改LNMP.conf后保存,安装完LNMP就是支持lua的,如果已经安装好LNMP,也是按前面修改LNMP.conf,然后LNMP安装包目录下 ./upgrade.sh Nginx 升级Nginx,输入当前Nginx版本号或更新的Nginx版本号,升级完成就是支持lua的了。
安装ngx_lua_waf
下载安装ngx_lua_waf:
Nginx上设置并启用ngx_lua_waf
编辑 /USR/local/Nginx/conf/Nginx.conf 在 seRveR_Tokens oFF; 下面添加如下代码:
修改完成保存
如果要想在某个虚拟主机启用ngx_lua_waf可以修改对应虚拟主机的seRveR段,在该seRveR段中 Root 网站目录行下面添加如下代码:
修改完成保存
测试Nginx配置文件:/USR/local/Nginx/sBIn/Nginx -t
重载Nginx配置生效:/USR/local/Nginx/sBIn/Nginx -s Reload
如果测试和重载都没报错就已经生效。
可以通过访问 http://域名/test.php?id=../etc/paSSwd 来测试
更详细的可以参见此文。
