Comments | hvostat_hvostat: "Мамкины хакеры идут на хер"

hvostat_hvostat

"Мамкины хакеры идут на хер"

Nov 14, 2019 23:47

Проблема:Мамкины хакеры постоянно ломятся на сервер под управлением nginx и пытаются вызвать там говно, подобное ( Read more... )

nginx, php, безопасность, мир идиотов причудлив и разнообразен

Comments 14

masterspammer November 15 2019, 06:25:31 UTC

Пардон, но если php нет, то они __и так__ уже там!

Кстати, с шансами это даже не мамкины хакеры, а вообще червяки!

hrenov_drummer November 15 2019, 10:30:05 UTC

Если php нет, то они и так могут хоть обзапрашиваться. А если есть, то, соответственно, собственный сервис мы обломаем.
И да, нашел на хабре статью, где описывают поведение файрфокса и хрома, при котором они, получив 444, продолжают слать запросы. Для ботнета, возможно, не актуально. А может и нет.
В каментах нашел идею слать 204 и это более правильным вариантом представляется.

hvostat_hvostat November 15 2019, 10:32:19 UTC

Моя задача - снять нагрузку с веб-сервера и сети.

Я не хочу НИЧЕГО слать в ответ.

TCP RST - и досвидос.

hrenov_drummer November 15 2019, 11:02:09 UTC

Ты статью-то почитай, вдруг изменишь мнение. Нагрузку с сети ты так можешь и не снять, если клиент будет перепосылать запросы.
Да и нагрузка на вебсервер тоже снимается ооооочень относительно, пакет все равно попадает в nginx, парсится, проверяется на соответствие локейшну. А разбирать регулярки - довольно дорого по ресурсам.

hvostat_hvostat November 15 2019, 11:56:08 UTC

Коллега.

Статью я эту видел еще полгода назад, как минимум.
И да, и без статьи я знаю, что глупенькие браузеры думают, что это вай-фай/3г глюкнул и будут долбиться еще несколько раз.

Однако, 99% валидных клиентов никогда не будут тыкать вслепую в *.php.
Этого - достаточно.

alex_avr2 November 15 2019, 15:08:45 UTC

Хм, а на что они рассчитывают этим запросом? Где такое может прокатить?

hvostat_hvostat November 15 2019, 18:07:52 UTC

Это специфичная штука.

Посмотрите CVE-2019-11043

alex_avr2 November 15 2019, 18:20:45 UTC

Дыра в PHP... Какая гадость..

hvostat_hvostat November 18 2019, 21:40:39 UTC

getinaks November 18 2019, 20:29:44 UTC

О, так вот с чего у меня PaX пару раз походу убил пых-пых на тестовой машине.

fishy_blog November 21 2019, 02:55:07 UTC

Вы ошибаетесь. nginx СНАЧАЛА ответит FIN, потом прекратит отвечать. Это следует прямо из модели OSI. Где tcp, а где nginx? То есть от самых мамкиных, может вы и отобьётесь, но современной автоматике достаточно получить ответ, чтобы знать, что рыба в этом озере есть. При всём уважении - такие вещи делаются через инструменты вроде fail2ban, файрволл, или хотя бы отдавайте код 401, 403, 404. Я понимаю пост-СНГшную привычку плевать в стандарт, но там вовсе не такое написано. От 500 Б страницы с кодом, например, тем же 410 ни вы, ни сервер не обеднеете.

hvostat_hvostat November 21 2019, 09:53:22 UTC

Во-первых, спасибо за конструктивный комментарий.

Во-вторых, я тоже "понимаю пост-СНГшную привычку" считать, что все вокруг - дураки.

И да, что касается понимания всей глубины глубин работы nginx и прочих моделей OSI: nginx НЕ ответит FIN.

nginx ответит RST. ;)

fishy_blog November 21 2019, 15:24:42 UTC

Ошибся, виноват. Прошу пардона. FIN, конечно, придёт не от nginx, а от сетевого стека ОС. Тем не менее - посмотрите wireshark. Чтобы nginx начал хоть что-то обрабатывать tcp handshake должен состоятся, разве нет?