Intento de hackeo NGINX

3

Cada vez que inicio mi servidor de prueba y lo dejo correr por algunos días, obtengo esto en mis archivos de registro (en diferentes variaciones):

111.241.26.165 - - [18/Feb/2014:22:16:45 +0100] "\x04\x01\x00\x19\xCBER!\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:46 +0100] "\x05\x01\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:47 +0100] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-" 

Algunas aplicaciones web como gitlab se ejecutan a través de nginx (proxy) con GoogleAuthenticator.
¿Debo configurar IDS / IPS (para esos pocos días) y si es así, cuál?

    
pregunta x4k3p 20.02.2014 - 01:55
fuente

3 respuestas

13

Estos son escaneos para servidores proxy. La primera prueba para un proxy SOCKS4, la segunda para un proxy SOCKS5 y la tercera prueba si su servidor permite el reenvío a través de una solicitud CONECTAR a puertos "valiosos" (SMTP en este caso). No tiene que preocuparse por eso, es lo que espera ver en los servidores públicos. Su servidor responde con un código de retorno de 400, por lo que todo está bien.

    
respondido por el fr00tyl00p 20.02.2014 - 02:15
fuente
3

Si le preocupa la seguridad, puede usar el módulo naxsi con nginx y capturar dichos intentos de manera más explícita con las reglas. Estoy muy contento con eso, es rápido y ligero.

enlace

    
respondido por el binaryanomaly 29.03.2014 - 12:48
fuente
2

También, visite Cloudflare, es gratis / barato y es una buena manera de bloquear la mayoría de este tipo de "ruido de Internet", es decir, pruebas automatizadas de penetración masiva para vulnerabilidades conocidas, o simplemente tráfico de rangos de IP maliciosos conocidos: www.cloudflare .com

    
respondido por el jmng 04.06.2014 - 13:11
fuente

Lea otras preguntas en las etiquetas