serverul meu se blochează de fiecare dată când un pentester enervant încearcă să găsească găuri de securitate în aplicația mea.
Văd asta în jurnalul de erori:
17:48:48 +0200] „\x16\x03\x01\x00M\x01\x00\x00I\x03\x03\xDBJA\xC5\xB17\xF6\xDA \xD4\xEEEg0\xE0\xF2\xF2\ xE4\xF9v}\x1E\x00\xC8\xC3d\x 80h;= \x1F\xD2\xAF?\x88\x8A\xA2\xCF\x16G\x99\x1D\x91" 400 173 "-" "-"
Serverul este configurat ca un server normal nginx + php-fpm. Portul 80 este redirecționat la 443 și ssl este configurat corect.
Am adăugat și această linie:
if ($request_method !~ ^(GET|HEAD|POST|OPTIONS|DELETE|PUT|PATCH)$) { return 405; }
(în ambele configurații de server)
Aceasta este, de asemenea, singura solicitare „pentesting” care are ca rezultat un 400. Toate celelalte solicitări au ca rezultat 301 sau 404.
Am găsit o problemă similară în care secțiunea ssl a nginx nu este configurată corect. Mi-am verificat configurația, dar pare în regulă.
Am aceeași problemă pe un alt server care are o configurație similară și pe un server care are o configurație nginx -> apache_mpm_prefork_fpm.
Orice idee despre ce este asta și cum să protejați serverul de prăbușire.
Cum să reproduc o astfel de cerere de pentesting (am încercat-o în poștaș dar am obținut un rezultat diferit).
Mulțumesc mult.
EDITAȚI | ×
Mi-am dat seama cum să reproduc acel jurnal:
https://servername:80.
Dar nu pot să-mi dau seama cum blochează astfel de solicitări.
Am încercat cu $scheme, dar cererea este criptată. Am încercat să adaug ssl la config, dar nimic nu s-a schimbat.
Trebuie să existe un motiv pentru care acele site-uri de pentesting/exploid încearcă să trimită o solicitare https la portul 80.
