Не пойму, почему nginx отвечает 301 на левые get запросы?

@Truebin · Регистрация: 06.04.2021

Author24 — интернет-сервис помощи студентам

Я так понимаю, мой сервер используют в качестве какого-то прокси?
Идет куча get запросов.

Code    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
34.68.34.91 - - [17/Oct/2024:18:30:24 +0000] "GET /def-7247180-doesntexist HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 S>
34.68.34.91 - - [17/Oct/2024:18:30:24 +0000] "GET /swagger/v1/swagger.json HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 S>
34.68.34.94 - - [17/Oct/2024:18:30:24 +0000] "GET /nginx-status HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.3>
34.68.34.91 - - [17/Oct/2024:18:30:24 +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:24 +0000] "GET /apidocs/swagger.json HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safa>
34.68.34.84 - - [17/Oct/2024:18:30:24 +0000] "\x16\x03\x01\x00\xB6\x01\x00\x00\xB2\x03\x02(\x0B\xD4V\x1D\x1D\xDE\xDD\xEF\xB6\xDC\x18\xF4\xC0\x98.]]YM\xFF/P\xFE\x86\x82N.\x04\x83\xE9\x94\x00\x>
34.68.34.91 - - [17/Oct/2024:18:30:24 +0000] "GET /v1/swagger.json HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/53>
8.34.210.50 - - [17/Oct/2024:18:30:25 +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "GET /rest HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "\x16\x03\x01\x00\xB6\x01\x00\x00\xB2\x03\x01\xE7\xF2x8.\xE4\xF9L\x14\x08^\xA5o\x8F\xA2 \xA2,y\xC5~\x87^\x9C&H\xF6<\xAC\x17\x1E\xED\x00\x00F\xC0" >
8.34.210.50 - - [17/Oct/2024:18:30:25 +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.91 - - [17/Oct/2024:18:30:25 +0000] "GET /.git HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.77 - - [17/Oct/2024:18:30:25 +0000] "ZSDLKFJ2 /${${r:m:-j}${cn:yim:-n}${7p:0ad:8o:-d}${obfp:gbw:g:-i}${y8ix:2g:bne:-:}${w5es:-l}${qa1:9:tha:-d}${t3km:f:rq3:-a}${vbt:86f2:u:-p}${lktg:>
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "GET /swagger HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.77 - - [17/Oct/2024:18:30:25 +0000] "POST /login HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.95 - - [17/Oct/2024:18:30:25 +0000] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x03h \xDD\xA4\x12M{\xE4\xC1\xDF\xA6\xDA\x87\x98z@\x99\xDEL\x16\x091\xA4/0\xE3\x01\xB2\x09a\x05D f\xD0R\x>
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "GET /swagger/ HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.76 - - [17/Oct/2024:18:30:25 +0000] "GET /favicon.ico HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 14_4_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Sa>
34.68.34.76 - - [17/Oct/2024:18:30:25 +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 14_4_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36"
34.68.34.76 - - [17/Oct/2024:18:30:25 +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 14_4_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "GET /swagger-resources HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/>
34.68.34.91 - - [17/Oct/2024:18:30:25 +0000] "GET /.git/config HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.77 - - [17/Oct/2024:18:30:25 +0000] "POST /login HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:25 +0000] "GET /swagger-ui HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"
34.68.34.84 - - [17/Oct/2024:18:30:26 +0000] "GET /swagger-ui.html HTTP/1.1" 403 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/53>
8.34.210.50 - - [17/Oct/2024:18:30:26 +0000] "GET /api HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.88 Safari/537.36"

Я добавил сайт default c таким блоком server (но это не помогло):

Code    
        
            
                
                
                
                
            
        
    Скопировано
1
2
3
4
5
server {
 listen 80 default_server;
 server_name _; 
 location / { return 403; }
}

Не могу понять, почему nginx отвечает 301 на get запросы, на которые должен был бы ответить (как я понимаю) 404.

Как вылечить сервер от этих атак?

@Usaga · 19.10.2024, 05:16

Сообщение от Truebin

Я так понимаю, мой сервер используют в качестве какого-то прокси?

Что тебя на эту мысль натолкнуло?

Сообщение от Truebin

Как вылечить сервер от этих атак?

Это не атака. Просто кто-то натравил утилиту сканирования какую-то на твой сервер. И "атаки" не лечатся статус кодом веб-сервера.

Тут можно или по IP банить, или просто ничего не делать.

@Truebin · 31.01.2025, 00:30 **[ТС]**

Сообщение от Usaga

Что тебя на эту мысль натолкнуло?

301-й ответ сервера. Типа, обращаются к нему, а он перенаправляет на другие ресурсы.

@ft4l · 31.01.2025, 02:12

Сообщение от Truebin

301-й ответ сервера.

Это не проксирование... при перенаправлении клиент сам должен перейти на адрес, указанный в Location-заголовке ответа.
И адрес этот сервер/приложение сами откуда-то берут... 99.999%

Сообщение от Truebin

должен был бы ответить (как я понимаю) 404.

Может так отвечать и с таким в конфиге

If uri processing leads to an error, the status code of the last occurred error is returned to the client.

It is also possible to use URL redirects for error processing:

Code    
        
    Скопировано
1
2
    error_page 403      http://example.com/forbidden.html;
    error_page 404 =301 http://example.com/notfound.html;

In this case, by default, the response code 302 is returned to the client. It can only be changed to one of the redirect status codes (301, 302, 303, 307, and 308).

И вообще без редиректа nginx-ом, но с редиректом из выполняемого запрошенного.
... 00.0001% это вроде случались раньше найденные баги,)
когда сервер с какого-нибудь хитрого запроса творил невесть что.

А так варианты от того что ботнеты щупают, установленно-ли что-то, в чём известны нужные им уязвимости/утечки ,
... возможно при возможно кривой конфигурации,
, до сбора статистики использования софта.
Первое не редкость... и на такое больше похоже.

Не по теме:

одно время среди прочего phpmyamin пробивали таким-же примерно способом...
видно тогда был шанс с ним что-то учинить...
и вероятнее что если только его настроили без всякого запрета использования кем-попало.

Новые блоги и статьи Все статьи Все блоги /
TypeScript: Интерфейсы vs Типы run.dev 11.04.2025 Современная разработка на JavaScript сталкивается с множеством проблем при масштабировании проектов. Типизация кода стала хорошим инструментом, помогающим избежать ошибок во время выполнения,. . .	Управление топиками и разделами Kafka Javaican 11.04.2025 Apache Kafka — распределенная платформа потоковой передачи данных, которая стала стандартом для построения высоконагруженных систем обмена сообщениями. В современной архитектуре микросервисов,. . .	Миграция монолита в Event-Driven микросервисную архитектуру на C# stackOverflow 11.04.2025 Монолитная архитектура – классический подход к разработке программного обеспечения. Это приложение, построенное как единое целое, где все компоненты тесно связаны между собой. Большинство проектов. . .	Go в Kubernetes: Управление ресурсами golander 11.04.2025 Разработчики Go-приложений в Kubernetes часто сталкиваются с неожиданными проблемами производительности и даже внезапными отказами контейнеров. Причина этого кроется в особенностях взаимодействия. . .	Агрегаты и сущности в DDD микросервисах Javaican 10.04.2025 Разработка современных программных систем часто приводит на распутье: монолит или микросервисы? Даже при выборе микросервисной архитектуры многие команды сталкиваются с проблемой правильного. . .
Многопоточность в C#: Task и параллельное программирование UnmanagedCoder 10.04.2025 Современные процессоры уже давно перестали наращивать тактовую частоту в пользу увеличения количества ядер. Это создало интересную ситуацию: разработчики, привыкшие к последовательному. . .	Линейное решение нелинейной задачи с помощью арктангенса для метода обработки данных из double buffering. Hrethgir 10.04.2025 Публикация в доработке, метод арктангенса в комментариях внизу. Вообще изначально я пренебрёг квадратурой числа, но потом понял, что для вычисления приблизительного значения - сгодится, формулу. . .	Переменные в Python py-thonny 10.04.2025 Переменная в программировании — это символическое имя, связанное с областью памяти, в которой хранится значение. Она позволяет получать доступ к данным через понятные человеку идентификаторы, а не. . .	Многопоточность в C#: Task и асинхронные операции UnmanagedCoder 10.04.2025 Многопоточность позволяет выполнять несколько операций одновременно, что важно для решения двух основных задач: повышения скорости выполнения вычислительно-сложных операций и сохранения отзывчивости. . .	Запуск контейнеров Docker на ARM64 Mr. Docker 09.04.2025 Появление таких решений, как Apple M1/ M2, AWS Graviton, Ampere Altra и Raspberry Pi, сделало использование ARM-систем обыденностью для многих разработчиков и DevOps-инженеров. При этом Docker,. . .

@Usaga 12864 / 8902 / 1322 Регистрация: 21.01.2016 Сообщений: 33,432
	19.10.2024, 05:16
	Сообщение от Truebin Я так понимаю, мой сервер используют в качестве какого-то прокси? Что тебя на эту мысль натолкнуло? Сообщение от Truebin Как вылечить сервер от этих атак? Это не атака. Просто кто-то натравил утилиту сканирования какую-то на твой сервер. И "атаки" не лечатся статус кодом веб-сервера. Тут можно или по IP банить, или просто ничего не делать. 0

@Truebin 5 / 5 / 2 Регистрация: 06.04.2021 Сообщений: 197
	31.01.2025, 00:30 [ТС]
	Сообщение от Usaga Что тебя на эту мысль натолкнуло? 301-й ответ сервера. Типа, обращаются к нему, а он перенаправляет на другие ресурсы. 0