LINUX.ORG.RU

Как сделать чтоб nginx не отвечал если запрашивается определённый url?

 , ,


0

1

Чтоб он вёл себя также как когда происходит drop в iptables. Чтоб на том конце люди/боты тратили своё время на ожидание — когда же им ответят.

Хочу отомстить всем кто ищет на моём web-сервере phpMyAdmin, MySQL и всякие уязвимости.

Ответ на: комментарий от anonymous

Не то. Он всё таки отвечает после задержки, а я хочу чтоб он вообще не отвечал и ресурсы не тратил (желательно чтоб память, которая под сокет выделена, освободил), но соединение не закрывал полностью, что клиент не знал что него забили.

LinuxUser ★★★
() автор топика
Ответ на: комментарий от anonymous

Кстати это идея. Буду редиректить на microsoft.com:666.

LinuxUser ★★★
() автор топика
Ответ на: комментарий от Megamozg

> редиректь его на какой-нибудь iso-шник дистрибутива любого.

Думаю, боты не настолько тупы, чтоб идти по редиректам на внешние домены.

provaton ★★★★★
()

Хочу отомстить всем кто ищет на моём web-сервере phpMyAdmin, MySQL и всякие уязвимости.

их скрипты юзают таймауты же

xtraeft ★★☆☆
()
Ответ на: комментарий от Megamozg

Тут уже в какой-то теме проскакивало - редиректь его на какой-нибудь iso-шник дистрибутива любого.

Лучше уж тогда бесконечно но с очень маленькой скоростью (чтобы ресурсы особо не тратить) отдавать рандомные данные

Dobriy_i_Prostoy
()
Ответ на: комментарий от Dobriy_i_Prostoy

бесконечно но с очень маленькой скоростью (чтобы ресурсы особо не тратить)

На игнор вообще ресурсы не тратятся, поэтому он лучше.

отдавать рандомные данные

А случайные данные откуда брать?

2012/04/16 16:45:04 [crit] 8895#0: *754 "/dev/urandom" is not a regular file …

LinuxUser ★★★
() автор топика
Ответ на: комментарий от LinuxUser

На игнор вообще ресурсы не тратятся, поэтому он лучше.

Разумеется, но этот способ эффектнее.

А случайные данные откуда брать?

Не поверишь, генерировать. Разумеется, /dev/urandom через HTTP не отдашь, тут стандартными средствами вряд ли можно будет обойтись.

Dobriy_i_Prostoy
()
Ответ на: комментарий от sjinks

а как это реализуется на fail2ban? он же вроде для того, чтоб блочить после неудачных попыток аутентификации

flant ★★★★
()
Ответ на: комментарий от Hoodoo

много ботов пытаются взломать сервер используя уязвимости которые нашли в phpmyadmin (получают доступ к шеллу юзера, а потом пытаются получить рут и сервер превращается в зомби). Сам неоднократно видел такие сервера (похаченные именно через дыру в phpmyadmin).

anonymous
()
Ответ на: комментарий от anonymous

Итить.

Я phppgadmin использую для того, чтобы по-быстрому создать какую-нибудь таблицу на предмет поиграться. Получается, надо с этим делом завязывать.

Hoodoo ★★★★★
()
Ответ на: комментарий от anonymous

Обновляется-то всё регулярно. Другое дело, что pgadmin-то меньше людей разрабатывает, скорее всего. Ладно хоть администратором нельзя залогиниться.

Ограничить доступ по IP, увы, никак.

Hoodoo ★★★★★
()
Ответ на: комментарий от Hoodoo

положи его в путь недефолтный, этого хватит

xtraeft ★★☆☆
()
Ответ на: комментарий от Spoofing

Spoofing И ходить на него по ssh с links, чо. Глобально и надёжно. Он же не на локалхосте.

xtraeft Так и сделаю, спасибо.

Блин, thread highjack. Автор, я не хотел, честное слово.

Hoodoo ★★★★★
()
Ответ на: комментарий от anonymous

ох, нет. извините перепутал комменты.

anonymous
()
Ответ на: комментарий от Hoodoo

Ходить можете из любого места, просто поменяйте 127.0.0.1 на другой IP или даже подсеть.

Spoofing ★★★★★
()
Ответ на: комментарий от Hoodoo

Блин, thread highjack. Автор, я не хотел, честное слово.

Ok.

return 444; наверно лучшее, что можно сделать.

Spoofing, пока так и сделал. По хорошему наверно надо написать свой модуль для nginx, который будет дропать клиентов но при этом не будет сообщать им об этом.

их скрипты юзают таймауты же

xtraeft, вот и пусть ждут ответа пока таймаут не кончится, а не до тех пор пока мой сервер им скажет 404.

LinuxUser ★★★
() автор топика
Ответ на: комментарий от LinuxUser

Что-то заинтересовался nginx и строением западла всем плохим людям, нашёл вот что: https://calomel.org/nginx.html

Там так и советуют делать (444).

Hoodoo ★★★★★
()
Ответ на: комментарий от KivApple

Если бы на всех компютерах, с которых я туда хочу заходить, я мог бы устанавливать любое ПО, проблем бы не было. Я бы вообще тупо поставил бы туда постгрес и настроил бы репликацию.

Hoodoo ★★★★★
()
Ответ на: комментарий от LinuxUser

вот и пусть ждут ответа пока таймаут не кончится, а не до тех пор пока мой сервер им скажет 404.

ты такой наивный :)
как будто кому то от этого хуже будет

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

вот и пусть ждут ответа пока таймаут не кончится, а не до тех пор пока мой сервер им скажет 404.

ты такой наивный :)
как будто кому то от этого хуже будет

Ну а кто знает, может у них «умный» скрипт и если ему не отвечают он хост из своего списка убирает.

Но вообще я согласен, что тот нехороший человек который этот скрипт запустил даже не заметит, что ему один хост не ответил. Вот если бы, хотябы половина веб-серверов в интернете такую «защиту» имела — нехорошим людям пришлось бы несладко.

LinuxUser ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.