在技術上半吊子水平的我,第一次遇到部落格被惡意解析與反代的事情,記錄一下發現的經過與處理方法。
發現被惡意反代#
其實之前在 Google 上搜索的時候,有看到 01868.com 這個網站上竟然有我在部落格上發布的一些內容。剛開始沒有很在意,懷疑可能是搬運。然後在最近借助 GPT4 學習 Python 爬蟲的時候,意外發現抓取自己網站的時候,連結竟然除了主域,其他一模一樣。
於是向 GPT4 諮詢了建議,給的回覆如下:
大致有了策略與方向。
開始處理這個問題#
首先,日誌排查了下自己的伺服器上是否有惡意程式碼或者入侵的記錄,沒有發現。因此基本確定就是對方將自己的域名解析到了我的伺服器 IP 上。最終的處理方案如下:
- 在 Nginx 配置檔案中添加以下程式碼:
## Only allow GET and HEAD request methods
if ($request_method !~ ^(GET|HEAD)$ ) {
return 444;
}
# Deny illegal Host headers
if ($host !~ ^(chiloh\.cn|www\.chiloh\.cn)$ ) {
return 444;
}
-
使用 lnmp restart nginx 來重新啟動 Nginx 服務。
-
在 /home/wwwroot 目錄下,使用下方命令將常見的 phpmyadmin 和 index.html 重新命名
mv phpmyadmin [新資料庫後台名稱]
mv index.html [新的主頁檔案名稱]
- 最後再次訪問 01868 這個惡意域名,發現已經打不開我伺服器下的任何檔案了。
- 以防萬一,其實自己還準備了其他的安全手段。最差的選擇就是遷移服務到一台新的伺服器上了,不使用 lnmp 來部署,改用自己最近學習到的 docker 來部署。
一些題外話#
伺服器安全自己其實一直挺重視的,常規的埠更改與放行,包括禁止 root 登入,設定一個新使用者等等操作每次都會做。這裡也推薦一個腳本:xiaoyunjie/Shell_Script ,使用起來挺方便的。