网站服务器防扫描目录,服务器安全:添加Nginx规则防止服务器被恶意机器人扫描...

最新推荐文章于 2025-03-07 16:29:17 发布
最新推荐文章于 2025-03-07 16:29:17 发布
阅读量2.7k 收藏 3
点赞数
文章标签: 网站服务器防扫描目录
本文分享了Nginx的安全配置方法,包括禁止通过IP访问服务器、阻止机器人扫描压缩文件等措施,同时提供了使用Lua WAF防火墙的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自己购买服务器搭建网站就涉及到一个服务器安全问题,虽然你自己不知道,但是每天服务器都在被一些机器人扫描。本文奶爸给大家分享几个Nginx的规则可以防止服务器被扫描。

1、禁止默认通过IP访问服务器

每台服务器都有一个IP地址,而一些机器人会直接通过访问ip地址的方法来探测你网站上的内容。

我们可以在Nginx的配置信息里面添加下面的代码来实现禁止通过IP地址访问服务器。

#别人如果通过ip或者未知域名访问你的网站的时候,你希望禁止显示任何有效内容,可以给他返回500

server {

listen 80 default;

server_name _;

return 500;

}

#开放一个或多个真实的希望被访问的域名配置,设置如下:

server {

linten 80;

server_name naibabiji.com;

}

2、禁止机器人扫描网站的压缩文件

同样的,也有很多机器人会直接访问你域名的一些文件,例如下图就是有人在扫描奶爸建站笔记的wwwroot.zip这个文件

e4f5406c1cf5f29e2446b4668036ae71.png我们可以给它加点料,让访问这些压缩包的链接给跳转到一个超大型的文件,让他慢慢去下载。

rewrite \.asp/?$ http://speedtest.tele2.net/50GB.zip permanent;

rewrite \.zip/?$ http://speedtest.tele2.net/50GB.zip permanent;

rewrite \.gz/?$ http://speedtest.tele2.net/50GB.zip permanent;

rewrite \.7z/?$ http://speedtest.tele2.net/50GB.zip permanent;

rewrite \.sql/?$ http://speedtest.tele2.net/50GB.zip permanent;

rewrite \.rar/?$ http://speedtest.tele2.net/50GB.zip permanent;

rewrite \.tar/?$ http://speedtest.tele2.net/50GB.zip permanent;

上面的代码是当访问网站上.asp/zip/gz/7z/sql/rar/tar格式的文件,就自动跳访问一个50G大小的zip链接。让他自己去爬吧。

我们也可以给他来点更大的文件,例如1000G,撑爆它硬盘。

http://speedtest.tele2.net/1000GB.zip

http://speedtest.tele2.net/100GB.zip

http://speedtest.tele2.net/50GB.zip

当然,你也可以安装Defender Security这款插件来帮你拦截这些机器人。如果你不会添加跳转规则,可以直接借助一些支持重定向的插件帮你,例如RanK Math的重定向功能。

2021年9月20日更新:

今天发现有新的机器人在扫描网站的时候无视上面的301(或者是量太大?),把奶爸建站笔记的服务器CPU挤满了好几次,所以只能用另外的方法了。

最简单粗暴的方法,直接nginx配置里面加上下面的规则,针对服务器上的文件下载链接,直接禁止访问(提供资源本地下载的网站慎用)

location ~ \.(zip|rar|sql|bak|gz|7z)$ {

return 444;

}

当有用户访问网站上的zip、rar这些资源时,直接返回444错误码。

444 No Response

Nginx上HTTP服务器扩展。服务器不向客户端返回任何信息,并关闭连接(有助于阻止恶意软件)

另外还有一种方法,就是给Nginx装一个waf防火墙,如果你是使用的宝塔面板,那么直接后台软件商店安装就可以了。

如果你使用的LNMP一键包,那么按照下面的方法安装。

LNMP一键安装包从1.5开始增加了lua支持的选项,可以通过修改lnmp.conf中Enable_Nginx_Lua后的参数为 y 来启用lua,如果没安装lnmp,修改lnmp.conf后保存,安装完lnmp就是支持lua的,如果已经安装好lnmp,也是按前面修改lnmp.conf,然后lnmp安装包目录下 ./upgrade.sh nginx 升级nginx,输入当前nginx版本号或更新的nginx版本号,升级完成就是支持lua的了。

安装ngx_lua_waf

下载安装ngx_lua_waf:

wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip -O ngx_lua_waf.zip

unzip ngx_lua_waf.zip

mv ngx_lua_waf-master /usr/local/nginx/conf/waf

nginx上设置并启用ngx_lua_waf

编辑 /usr/local/nginx/conf/nginx.conf 在 server_tokens off; 下面添加如下代码:

lua_package_path "/usr/local/nginx/conf/waf/?.lua";

lua_shared_dict limit 10m;

init_by_lua_file /usr/local/nginx/conf/waf/init.lua;

修改完成保存

如果要想在某个虚拟主机启用ngx_lua_waf可以修改对应虚拟主机的server段,在该server段中 root 网站目录行下面添加如下代码:

access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;

修改完成保存

测试nginx配置文件:/usr/local/nginx/sbin/nginx -t

重载nginx配置生效:/usr/local/nginx/sbin/nginx -s reload

如果测试和重载都没报错就已经生效。

可以通过访问 http://域名/test.php?id=../etc/passwd 来测试

更详细的可以参见此文。

5

/

5

(

1

vote

)

Macrko
关注
第54章:镜像安全:从扫描到准入控制
上海交通大学电院毕业,现互联网大厂开发工程师
03-25 54
/ main.goimport ("fmt""net/http""strings"var (// 允许的镜像仓库// 主函数},err!= nil {// 验证函数if r.Body!= nil {// 验证内容类型return// 解析AdmissionReview请求err!= nil {},} else {// 构建AdmissionReview响应// 发送响应if err!= nil {return// 验证镜像。
网络安全方向相关课题和材料
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
10-30 1473
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
如何预防恶意扫描网站
2402_88115615的博客
10-16 496
恶意扫描网站通常是通过使用各种扫描工具和技术来进行的,这些工具能够自动检测网站安全漏洞、开放端口、敏感信息等。* Web应用防火墙(WAF):WAF能够执行一系列针对HTTP/HTTPS的安全策略,对异常的HTTP请求进行检测和拦截,从而保护Web应用免受恶意扫描和攻击。* 部署防火墙:在网络边界部署防火墙,可以过滤掉不合法的网络请求,阻止未经授权的访问。*使用监控工具来实时检测和分析网络流量,及时发现并阻止恶意扫描和攻击行为。* 定期检查并关闭服务器上不必要的服务和端口,减少潜在的攻击面。
服务器禁止目录功能,以防止黑客扫描网站目录结构
01-08
服务器禁止目录功能,以防止黑客扫描网站目录结构
服务器端口被疯狂扫描?4步紧急止血 + 5个自动防护脚本
最新发布
@云安全小杜
03-07 333
【代码】服务器端口被疯狂扫描?4步紧急止血 + 5个自动防护脚本。
fail2ban防止暴力破解-防止nginx服务器web目录被黑客扫描
热门推荐
vbird的博客
10-02 1万+
1. 背景 刚买了阿里云服务器,准备用来部署自己的一些站点。结果刚把lnmp环境搭建好,才一天的时间就被来自不同地域IP不断的扫描web站点目录,这运气怕是没几个人能遇到了,幸好之前有熟悉过防止暴力破解fail2ban服务。下面就来介绍一下这款服务软件。写这篇博客参加以下文章: http://www.361way.com/fail2ban-nginx/1825.html 参考-匹配RUL规则...
防止图片媒体浏览器扫描到某个目录的图片
艾文-- 技术总结学习专栏
11-05 3001
在做Android 开发的时候,很多情况下都会缓存一些图片在本地sd卡中,但有的时候又不想让这些图片被图片浏览器扫描到,也就是不想让用户通过图片浏览器看到。通过这段时间来查看资料。有两种方式解决这个问题。第一种就是和PC一样的,创建隐藏文件夹或者文件的形式。在目录或者图片名称前面加一个  " . " 点,标记该文件或者文件夹为隐藏文件,这样可以避免被图片浏览器扫描到。但是这样的话,我们在使用这些图
linux禁止扫描端口,公网的服务器如何禁止别人扫描端口
weixin_35087326的博客
04-30 1962
目前 iptables 有個 module 為 psd, 也就是提供該功能的偵測處理使用.psdAttempt to detect TCP and UDP port scans. This match wasderivedfromSolar Designer's scanlogd.--psd-weight-threshold thresholdTotal weight of the lat...
Nginx禁止文件下载防止服务器恶意扫描
软希网分享源码的博客
11-03 4739
Nginx禁止文件下载防止服务器恶意扫描
Nginx服务器维护秘籍】:持续监控并解决文件上传的500错误
本文旨在分析Nginx服务器在文件上传过程中遇到500内部服务器错误的问题,并提出有效的解决策略。首先,通过分析Nginx的错误日志,探讨了500错误的成因,包括客户端因素、服务器配置错误以及网络和环境问题。随后,...
【MOXA串口服务器全面优化手册】:提升性能、安全和管理的10大技巧
![【MOXA串口服务器全面优化手册】:提升性能、安全和管理的10大技巧]...此外,针对安全问题,本文分析了认证和授权机制的强化、数据传输安全与防
解密网恋背后的秘密:照妖镜.zip
- 防刷机制:针对自动化脚本和机器人,ck.php和sc.php可能包含了验证码、行为分析等防刷技术来保护网站安全。 - 服务器配置:为了支持以上所有功能,网站还需要配置合适的服务器环境,包括但不限于HTTP服务器(如...
编写的禁止别人扫描自己机器的程序
06-29
CONSOLE APPLICATION : 003 AppWizard has created this 003 application for you. This file contains a summary of what you will find in each of the files that make up your 003 application. 003.dsp This file (the project file) contains information at the project level and is used to build a single project or subproject. Other users can share the project (.dsp) file, but they should export the makefiles locally. 003.cpp This is the main application source file. Other standard files: StdAfx.h, StdAfx.cpp These files are used to build a precompiled header (PCH) file named 003.pch and a precompiled types file named StdAfx.obj. Other notes: AppWizard uses "TODO:" to indicate parts of the source code you should add to or customize.
服务器系统安全扫描,服务器安全第一步:防扫描 -电脑资料
weixin_29586571的博客
08-09 1775
入侵者对服务器的攻击几乎都是从扫描开始的,首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击,一、扫描工具和防范原理1、扫描工具攻击者采用的扫描手段是很多的,可以使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描。其中SuperScan的扫描速度非常快,而NMAP的扫描非常的专业,不但误报很少,而且还可以扫描...
防止网站目录浏览
aneverap的博客
12-25 872
把Apache中的httpd.conf如下图中的Indexes去掉就可以 重启Apache就可以;
linux中怎么禁止扫描iscsi,Linux:iSCSI客户端扫描无法发现iSCSI服务端问题排查
weixin_35523579的博客
05-15 396
配置环境信息:Redhat7 target:192.168.23.10Redhat7 initiator:192.168.23.20Windows10 initiator:192.168.23.1问题:在192.168.23.20客户端扫描服务端,没有发现资源。第一步:检查网络连通性,网络正常。第二步:检查initiator文件中写入的客户端名称与target目录中acls的参数一致[root...
网站被黑客扫描撞库该怎么应对防范?
05-08 735
安全领域向来是先知道如何攻,其次才是防。在介绍如何防范网站被黑客扫描撞库之前,先简单介绍一下什么是撞库:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对于的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户。因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。 那么碰见撞库之后,我们如何防护呢?为此我们咨询了网易云易盾安全专家:...
Nginx安全扫描借助lua-nginx-module模块增加授权
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-13 754
它依赖LuaJIT,因此我们需要首先安装LuaJIT,对于LuaJIT,强烈推荐使用OpenResty发行版,LuaJIT 2.0 or 2.1,它自集成了 integrate Nginx, ngx_lua,有更好的兼容性,否则后期会报兼容性错误;OpenResty,它是一个基于Nginx的可扩展平台,集成了Lua和其他一些常用的模块。某次安全扫描通过Dirsearch工具发现,nginx代理访问某后端业务时,发现:Springboot未授权漏洞,存在信息泄露风险,危险等级:中危;1)Nginx打补丁。
防止通过域名访问服务器文件目录
小键的博客
12-13 3905
当你在浏览器输入网址时,如果你的文件根目录里有 index.html,浏览器就会显示 index.html的内容,如果没有 index.html,Apache将在浏览器显示文件根目录目录列表,目录列表包括文件根目录下的文件和子目录。给网站造成安全风险。  同样当你输入一个域名目录的地址:  https://www.***.com/public/static  如果该虚拟目录下没有 in
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值