Senc

www.hv-info.ru
Рейтинг
104
Регистрация
31.03.2011
Запросы GET с 127.0.0.1

Основной конф. файл:

user apache;
worker_processes 3;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;


events {
worker_connections 1024;
}


http {
include /etc/nginx/mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

.
.
.
server {
server_name localhost;
disable_symlinks if_not_owner;
listen 80;
listen [::]:80;
include /etc/nginx/vhosts-includes/*.conf;
location @fallback {
error_log /dev/null crit;
proxy_pass http://127.0.0.1:8080;
proxy_redirect http://127.0.0.1:8080 /;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
access_log off ;
}
}
client_max_body_size 128m;
}

Конфиг сайта

server {
.
.
.

location / {
}
location ~ [^/]\.ph(p\d*|tml)$ {
try_files /does_not_exists @fallback;
}
location ~* ^.+\.(jpg|jpeg|gif|png|svg|js|css|mp3|ogg|mpe?g|avi|zip|gz|bz2?|rar|swf|woff|ico)$ {
try_files $uri $uri/ @fallback;
expires 4d;
}
location / {
try_files /does_not_exists @fallback;
}
}
location @fallback {
proxy_pass http://127.0.0.1:8080;
proxy_redirect http://127.0.0.1:8080 /;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
access_log off;
}

.
.

}
Запросы GET с 127.0.0.1

В смысле, друг с другом? )

location @fallback {
proxy_pass http://127.0.0.1:8080;
proxy_redirect http://127.0.0.1:8080 /;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
access_log off;

По https недоступен.

---------- Добавлено 05.01.2018 в 14:24 ----------

Прописал временно в конфигурацию nginx

if ($args ~ ^p= ){return 403;}

запросы прекратились.

Что это может значить?

---------- Добавлено 05.01.2018 в 15:02 ----------

Выяснил причину массовых записей в логе. После того как по данным запросам заставил nginx стал отдавать ошибку 403, в логах появились записи:

Line 55784: 176.121.14.163 - - [05/Jan/2018:14:10:45 +0300] "GET /viewtopic.php?p=1417992#p1417992 HTTP/1.1" 403 134 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0"
Line 55919: 176.121.14.164 - - [05/Jan/2018:14:12:00 +0300] "GET /viewtopic.php?p=826172#p826172 HTTP/1.1" 403 134 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/20100101 Firefox/29.0"
Line 56128: 176.121.14.173 - - [05/Jan/2018:14:13:32 +0300] "GET /viewtopic.php?p=1423914#p1423914 HTTP/1.1" 403 189 "-" "Mozilla/5.0 (Windows NT 4.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36"
Line 56447: 176.121.14.163 - - [05/Jan/2018:14:16:30 +0300] "GET /viewtopic.php?p=1423275#p1423275 HTTP/1.1" 403 134 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0"
Line 56593: 176.121.14.170 - - [05/Jan/2018:14:18:11 +0300] "GET /viewtopic.php?p=1423552#p1423552 HTTP/1.1" 403 189 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36"
Line 56732: 176.121.14.163 - - [05/Jan/2018:14:19:46 +0300] "GET /viewtopic.php?p=1141602#p1141602 HTTP/1.1" 403 134 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10; rv:33.0) Gecko/20100101 Firefox/33.0"

Вопрос - почему в журнале посещений они логируются как запросы с адреса 127.0.0.1?

Запросы GET с 127.0.0.1

Да, nginx +FastCGI (Apache). В cron задач нет.

Ошибка 500 и mod_fcgid: ap_pass_brigade failed in handle_request_ipc function

Потому, что время событий в обоих логах всегда совпадает.

---------- Добавлено 29.12.2017 в 16:05 ----------

Mobiaaa:
А это вообще по идее статика
"GET /apple-touch-icon.png HTTP/1.0" 500
И до fcgid не дошло дело скорей всего

Это запрос несуществующего файла. Движок сайта перенаправляет на страницу ошибки 404.

Ошибка 500 и mod_fcgid: ap_pass_brigade failed in handle_request_ipc function
Vin_cent:
Это не ошибка, а warning. Можно их игнорировать. .

Почему же в логе посещений это отображается ошибкой 500?

Ограничение запросов средствами

Благодарю, не обратил внимания!

Ограничение запросов средствами

Разобрался, теперь nginx запросы, включающие "go.php" сбрасывает с ошибкой 444. Вопрос к тем, кто разбирается, почему в логах проскакивают записи вида

Line 100716: 185.206.81.99 - - [22/Oct/2017:13:04:15 +0300] "GET / HTTP/1.0" 200 85757 "ht*p://мой сайт.ru/forum/go.php?ht*p://mx.esteroides.com.mx/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7"

Тем более с кодом 200? Файла go.php физически не существует.

Ограничение запросов средствами
Оптимизайка:

location ~ go\.php {
if ($http_referer !~* (www\.example\.org|example\.com)) { return 403; }
...
}

location работает на всех регулярных выражениях, если в них нет точки. Если в выражении есть точка, то не срабатывает.

Ограничение запросов средствами
foxi:
Вот прям такой код и размещен? Тогда вас похакаюх скоро.

Код редиректа переделал, включив фильтрацию запросов. Кто-то может подсказать, чем опасен этот скрипт редиректа и в чем профит злоумышленников от запросов вида

www,мой сайт/go.php?http:/www.левый сайт/user/faemerfluse44/ ?

Ограничение запросов средствами
Оптимизайка:

location ~ go\.php {

if ($http_referer !~* (www\.example\.org|example\.com)) { return 403; }

...

}

Почему-то не работает

1 234 5
Всего: 41