В access-log nginx много запросов от левых ip.

Если сервер твой, то это к тебе вопрос.

Много запросов с левых айпи идёт всем, кто доступен из интернета, не обращай внимание. Почему 301 - смотри конфиг сервера. Можешь сам открыть эти урлы и посмотреть куда он перенаправляет.

ТС не раскрывает на чем сайт, т.ч. пускай сам разбирается почему там 301.

Почему сервер отвечает 301, а не 404

Чтобы никто не догадался.

Да небось какой-нибудь редирект от certbot. Или редирект на сайт когда запрос идёт без указания хоста просто по ip

Обращаются по http, у вас наверняка есть редирект на https

Когда я сам открываю эти урлы, то получаю ошибку 404. Вот в чем дело. Жесть.

Сайт на next.js Плюс strapi

Никакого php нет.

У тебя в логе домен не указывается куда обращались? Твои запросы так же там выглядят? Допиши $http_host тогда туда чтоб логировался.

Спасибо, понял про $http_host

Обращаются, я так понял, к самому ip-адресу сервера. Ну, например, так:

http://ip-address/?rest_route=/wp/v2/users/

Почему я сделал вывод, что обращаются к ip-адресу? Это лог /var/log/nginx/access.log

Для сайта отдельный лог есть.

Причем, когда я пробую перейти по тем же урлам: http://ip-address/?rest_route=/wp/v2/users/

У меня ошибка 404

Залогируй http_host и потом смотри, зачем гадать?

Спасибо.

Да. Оказалось, что обращение идет по домену сайта. Например, так.

http://site-domain/?rest_route=/wp/v2/users/

149.104.0.172 - - [18/Oct/2024:11:36:13 +0000] =«www.site-domain»= «GET /jbpm-console/app/tasks.jsf HTTP/1.1» 301 162 «-» «Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4.1 Safari/605.6.24»

149.104.0.172 - - [18/Oct/2024:11:36:13 +0000] =«www.site-domain»= «POST /jbpm-console/app/j_security_check HTTP/1.1» 301 162 «-» «Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36»

149.104.0.172 - - [18/Oct/2024:11:36:13 +0000] =«www.site-domain»= «POST /jbpm-console/app/j_security_check HTTP/1.1» 301 162 «-» «Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.5 Safari/605.8.19»

149.104.0.172 - - [18/Oct/2024:11:36:13 +0000] =«www.site-domain»= «POST /jbpm-console/app/j_security_check HTTP/1.1» 301 162 «-» «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36»

149.104.0.172 - - [18/Oct/2024:11:36:13 +0000] =«www.site-domain»= «POST /jbpm-console/app/j_security_check HTTP/1.1» 301 162 «-» "Mozilla/5.0 (Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36

А не подскажете: эти обращения реально куда-то что-то постят, или их цель просто нагрузить мой сервер?

Ну, просто вариант же может быть такой, что мощность моего сервера где-то «полезно» используется.

Если открыть эти же урлы с этим же доменом в браузере - будет 404 или 301?

А не подскажете: эти обращения реально куда-то что-то постят, или их цель просто нагрузить мой сервер?

Их цель - наугад найти какие-нить уязвимости из популярных. Они даже не проверяют какой у тебя движок, просто шлют всё подряд из своего списка в надежде получить интересующий их ответ.

Да, таки получается 301, если открывать эти урлы. Да вообще – если открывать любые урлы, которых не существует – получается 301.

Сайт я не разрабатывал. Единственное: у меня есть доступ к nginx – могу править его конфиги. Ну и к коду сайта доступ есть – но там я только сломать могу.

Спасибо тебе, дружище, за ответы. Ты реально помог. Хотя бы что-то прояснилось теперь – для начала это самое то.