NGINX黑客企图

Question

每次启动我的测试服务器并让它运行几天，我就会在日志文件中(以不同的变体)获得这样的结果：

111.241.26.165 - - [18/Feb/2014:22:16:45 +0100] "\x04\x01\x00\x19\xCBER!\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:46 +0100] "\x05\x01\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:47 +0100] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-" 

一些像gitlab这样的WebApps正在使用GoogleAuthenticator运行nginx (代理)。

我应该设置IDS/IPS (这几天)，如果是，哪一个？

Answer 1

这些是对代理服务器的扫描。第一个测试SOCKS4代理，第二个测试SOCKS5代理，第三个测试服务器是否允许通过连接请求转发到“有价值的”端口(本例中是SMTP)。你不必担心这一点，这是你在公共服务器上所期望看到的。您的服务器返回代码为400，所以一切都很好。

Answer 2

如果您担心安全性，可以用nginx使用naxsi模块，用规则更明确地捕捉此类尝试。我对它很满意-它速度快，重量轻。

https://github.com/nbs-system/naxsi

Answer 3

另外，查看Cloudflare，它是免费的/廉价的，并且是阻止大多数这种“互联网噪音”的好方法，即自动大规模渗透测试已知漏洞，或者仅仅是来自已知恶意IP范围的流量: www.cloudflare.com