Nginx常用屏蔽规则,让网站更安全

最新推荐文章于 2024-04-07 14:27:20 发布
最新推荐文章于 2024-04-07 14:27:20 发布
阅读量507 收藏
点赞数
分类专栏: nginx

Nginx (engine x) 是一个高性能的HTTP和反向代理服务,目前很大一部分网站均使用了Nginx作为WEB服务器,Nginx虽然非常强大,但默认情况下并不能阻挡恶意访问.
在开始之前,希望您已经熟悉Nginx常用命令(如停止、重启等操作)及排查nginx错误日志,以免出现问题不知所措。如无特殊注明,以下的命令均添加到server段内,修改nginx配置之前务必做好备份,修改完毕后需要重载一次nginx,否则不会生效

屏蔽来自该网站的访问者
if ($http_referer ~* xxxxx){
return 503;
}
防止文件被下载

比如将网站数据库导出到站点根目录进行备份,很有可能也会被别人下载,从而导致数据丢失的风险。以下规则可以防止一些常规的文件被下载,可根据实际情况增减。

location ~ \.(zip|rar|sql|bak|gz|7z)$ {
  return 444;
}
屏蔽非常见蜘蛛(爬虫)

如果经常分析网站日志你会发现,一些奇怪的UA总是频繁的来访问网站,而这些UA对网站收录毫无意义,反而增加服务器压力,可以直接将其屏蔽。

if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) {
     return 444;
}
禁止某个目录执行脚本

比如网站上传目录,通常存放的都是静态文件,如果因程序验证不严谨被上传木马程序,导致网站被黑。以下规则请根据自身情况改为您自己的目录,需要禁止的脚本后缀也可以自行添加。

#uploads|templets|data 这些目录禁止执行PHP
location ~* ^/(uploads|templets|data)/.*.(php|php5)$ {
    return 444;
}
屏蔽某个IP或IP段

如果网站被恶意灌水或CC攻击,可从网站日志中分析特征IP,将其IP或IP段进行屏蔽。

#屏蔽192.168.5.23这个IP
deny 192.168.5.23;
#屏蔽192.168.5.* 这个段
denu 192.168.5.0/24;
其它说明

再次强调,修改nginx配置之前务必做好备份,修改完毕后需要重载一次nginx,否则不会生效。

上面大部分规则返回444状态码而不是403,因为444状态码在nginx中有特殊含义。nginx的444状态是直接由服务器中断连接,不会向客户端再返回任何消息,比返回403更加暴力。若有不足还请补充和指正。

打卤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改Nginx屏蔽网址的规则的方法
09-30
主要介绍了修改Nginx屏蔽网址的规则的方法,特别是在遭到恶意域名指向的时候需要用到,需要的朋友可以参考下
Nginx 常用安全屏蔽规则
cjj2006的博客
07-09 1408
Nginx 是一个高性能的 HTTP 和反向代理服务,目前很大一部分网站均使用了 Nginx 作为 WEB 服务器,Nginx 虽然非常强大,但默认情况下并不能阻挡恶意访问,整理了一份常用Nginx屏蔽规则,希望对各位站长有所帮助。在开始之前,请备份你的 Nginx 配置,修改完毕后需要重载一次 Nginx 的,否则不会生效。
nginx怎么设置拦截请求
weixin_67569936的博客
04-07 1199
Nginx 设置拦截请求可以通过多种方式实现,具体取决于您想要拦截的请求类型、条件以及拦截后的处理方式。
Nginx 配置过滤攻击
java_w的专栏
12-17 549
#配置生效 server{ include /opt/www/nginx/conf/dropsql; } cat /opt/www/nginx/conf/dropsql # Block common exploits set $block_common_exploits 0; #过滤alert if ($query_string ~ .*alert.*) { set $block...
nginx屏蔽特定http_referer的请求
热门推荐
yf.z的专栏
08-29 1万+
nginx.conf的server配置项中加入 if ($http_referer ~* "www.xxx.com") { return 403; }
nginx的filter模块
m0_65931372的博客
06-14 710
过滤(filter)模块是过滤响应头和内容的模块,可以对回复的头和内容进行处理。它的处理时间是在获取回复服务端内容之后,向用户发送响应之前。它的处理过程分为两个阶段,过滤 http回复的头部和主体,在这两个阶段可以分别对头部和主体进行修改,可以放在server或location模块。nginx代码中的函数 ngx_http_top_header_filter(r); ngx_http_top_body_filter(r, in); 就是分别对头部和主体进行过滤的函数。所有模块的响应内容要返回给客户端,都必
详解常用nginx rewrite重写规则
09-30
主要介绍了详解常用nginx rewrite重写规则Nginx的rewrite功能是使用nginx提供的全局变量或自己设置的变量,结合正则表达式和标志位实现url重写以及重定向。感兴趣的可以一起来了解一下
Nginx 转发匹配规则的实现
09-29
主要介绍了Nginx 转发匹配规则的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx屏蔽指定接口(URL)的操作方式
09-29
主要介绍了nginx屏蔽指定接口(URL)的操作方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php 防止恶意灌水,Nginx禁止恶意User Agent采集网站
weixin_42099815的博客
04-04 175
禁用一些User Agent可以节省一些流量也可以防止一些恶意的访问,尤其是部份搜索引擎爬虫,例如我们的网站就是一个地方性站点,没有必要被一些国外的搜索引擎爬虫索引,都可以禁掉,具体操作如下:1、编辑该文件agent_deny.con:# vi /usr/local/nginx/conf/agent_deny.conf2、增加以下内容(示例):if ($http_user_agent ~* (Sc...
nginx屏蔽某些网站的跳转攻击,如短信轰炸机、盗链图片,Referer屏蔽
old_lover的博客
07-05 944
先上代码:if ($http_referer ~ ^\S*(aaa\.top|bbb\.pw)\S*$) { return 404; }放到server下面就行了。注意if后面一定要有空格。这样,世界就清静了。有空还是要多看看nginx的文档。http://nginx.org/en/docs/http/ngx_http_core_module.html#internal...
nginx 过滤模块例子
qq_37070988的博客
08-12 120
├── configNginx 可以方便的加入第三方的过滤模块。ngx_http_myfilter_module:自定义过滤模块的名称ngx_http_myfilter_module.c:自定义模块的源码HTTP_AUX_FILTER_MODULES 这个变量与一般的内容处理模块不同修改 nginx.conf 配置文件,添加 add_prefix on;然后进入到ngxin源码目录 /usr/nginx-1.14.1 下,执行如下命令进行nginx配置。
nginx 拦截html页面,nginx屏蔽指定接口(URL)的操作方式
weixin_39879881的博客
06-03 2647
一、前言有时候,web平台上线后,需要屏蔽某个服务接口,但又不想重新上线,可以采用nginx屏蔽指定平台接口的办法。二、具体操作在nginx的配置文件nginx.conf文件的server节点中,添加一个location,示例如下:location /your url {return 403;}这里具体以nginx自带nginx.conf为例,屏蔽根url路径/:屏蔽前location / {ro...
nginx中禁止屏蔽网络爬虫
火炬手
04-22 2730
 Xml代码   server {           listen       80;           server_name  www.xxx.com;              #charset koi8-r;              #access_log  logs/host.access.log  main;     
resnet模型-基于图像分类算法对汉字写的是否工整识别-不含数据集图片-含逐行注释和说明文档.zip
05-23
resnet模型_基于图像分类算法对汉字写的是否工整识别-不含数据集图片-含逐行注释和说明文档 本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的版本,pytorch推荐安装1.7.1或1.8.1版本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹增加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01生成txt.py,
计算机毕业设计选题精品毕设分享+源码+论文+PPT+asp.net0班级网站的设计与实现演示录像.rar
最新发布
05-23
博主给大家详细整理了计算机毕业设计最新项目,对项目有任何疑问(部署跟文档),都可以问博主哦~ 一、JavaWeb管理系统毕设项目【计算机毕设选题】计算机毕业设计选题,500个热门选题推荐,多作品展示 计算机毕业设计|PHP毕业设计|JSP毕业程序设计|Android毕业设计|Python设计论文|微信小程序设计 多作品展示 +微亻言 biyesheji02
Reborn 是使用 Go 开发的,基于 Redis 存储的配置库,简单配置,易于使用
05-23
Go语言(也称为Golang)是由Google开发的一种静态强类型、编译型的编程语言。它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如继承、重载等,转而采用组合和接口来实现代码的复用和扩展。 高性能:Go语言具有出色的性能,可以媲美C和C++。它使用静态类型系统和编译型语言的优势,能够生成高效的机器码。 并发性:Go语言内置了对并发的支持,通过轻量级的goroutine和channel机制,可以轻松实现并发编程。这使得Go语言在构建高性能的服务器和分布式系统时具有天然的优势。 安全性:Go语言具有强大的类型系统和内存管理机制,能够减少运行时错误和内存泄漏等问题。它还支持编译时检查,可以在编译阶段就发现潜在的问题。 标准库:Go语言的标准库非常丰富,包含了大量的实用功能和工具,如网络编程、文件操作、加密解密等。这使得开发者可以加专注于业务逻辑的实现,而无需花费太多时间在底层功能的实现上。 跨平台:Go语言支持多种操作系统和平台,包括Windows、Linux、macOS等。它使用统一的构建系统(如Go Modules),可以轻松地跨平台编译和运行代码。 开源和社区支持:Go语言是开源的,具有庞大的社区支持和丰富的资源。开发者可以通过社区获取帮助、分享经验和学习资料。 总之,Go语言是一种简单、高效、安全、并发的编程语言,特别适用于构建高性能的服务器和分布式系统。如果你正在寻找一种易于学习和使用的编程语言,并且需要处理大量的并发请求和数据,那么Go语言可能是一个不错的选择。
其他类别Jsp考试系统-jspks.7z
05-23
[其他类别]Jsp考试系统_jspks.7z
nginx常用安全加固措施
07-20
nginx常用安全加固措施包括以下几点: 1. 新和升级:及时nginx版本,以获取最新的安全修复和功能改进。...这些是一些常见的nginx安全加固措施,但具体应根据实际情况和需求进行配置和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值