Tentativo di hacking NGINX

3

Ogni volta che avvio il mio server di test e lo faccio girare per alcuni giorni, lo raccolgo nei miei file di registro (in diverse varianti):

111.241.26.165 - - [18/Feb/2014:22:16:45 +0100] "\x04\x01\x00\x19\xCBER!\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:46 +0100] "\x05\x01\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:47 +0100] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-" 

Alcune WebApp come gitlab stanno eseguendo nginx (proxy) con GoogleAuthenticator.
Devo impostare IDS / IPS (per quei pochi giorni) e se sì quale?

    
posta x4k3p 20.02.2014 - 01:55
fonte

3 risposte

13

Si tratta di scansioni per server proxy. Il primo verifica un proxy SOCKS4, il secondo per un proxy SOCKS5 e il terzo verifica se il server consente l'inoltro tramite una richiesta CONNECT a porte "preziose" (in questo caso SMTP). Non devi preoccuparti di questo, è ciò che ti aspetti di vedere sui server pubblici. Il tuo server risponde con il codice di ritorno di 400, quindi tutto va bene.

    
risposta data 20.02.2014 - 02:15
fonte
3

Se sei preoccupato per la sicurezza potresti usare il modulo naxsi con nginx e cogliere tali tentativi un po 'più esplicitamente con le regole. Sono abbastanza soddisfatto: è veloce e leggero.

link

    
risposta data 29.03.2014 - 12:48
fonte
2

Inoltre, controlla Cloudflare, è gratuito / economico ed è un buon modo per bloccare la maggior parte di questo tipo di "rumore di Internet", ovvero test di penetrazione di massa automatizzati per vulnerabilità note o semplicemente il traffico da gamme IP dannose conosciute: www.cloudflare .com

    
risposta data 04.06.2014 - 13:11
fonte

Leggi altre domande sui tag