云服务器
云主机评测
当前位置:云门网 > 运维管理 > 正文

云服务器通过宝塔面板配置Nginx 防止SQL注入和XSS攻击

2022-08-17 分类:运维管理 评论(0)

网站访问卡顿缓慢,云服务器负载过高什么原因?

通常网站打开速度慢,常见原因是因为服务器负载过高。而造成负载过高一般有两个原因,一个可能是主机配置太低,随着网站流量逐步增加,需要升级更高的云服务器,另一个可能是网站可能收到了恶意工具,比如SQL 注入和XSS 攻击、恶意扫描等。

而判断是不是负载过高引起的,我们可以通过 top -i 命令查看服务器负载,也可以直接通过宝塔面板查看负载是否过高。

云服务器通过宝塔面板配置Nginx 防止SQL注入和XSS攻击

通过网站日志分析我们可以看是因为自己网站正常流量增长,还是受到了的别人的恶意攻击。如果网站日志里记录的大部分都是 GET/POST 形式的请求,就是常见的 SQL 注入、XSS 攻击。会造成 PHP、MySQL 请求越来越多,服务器负载飙升就是这个原因造成的,对此我们可以采取多种方式防止恶意攻击。比如本站前面分享过的几个方法。

云服务器防止恶意攻击的方法:

1、免费CDN服务cloudflare防火墙规则设置 阻挡cc攻击和恶意访问

2、分享宝塔面板屏蔽恶意IP攻击的设置方法 提高网站安全性

3、宝塔面板防止恶意解析禁止IP打开网站提高云服务器安全

4、Nginx+宝塔面板批量屏蔽IP 防止恶意扫描和网站攻击

以上这些方法都可以起到防止网站被恶意攻击的目的,但是今天又发现了一个通过云服务器配置Nginx 防止 SQL 注入和XSS 攻击的方法,和前面的几种方式可以起到互补的作用。据说这个方法的效果非常好。

配置Nginx 防止 SQL 注入和XSS 攻击

将下面的 Nginx 代码放入到对应站点的配置文件的 [server] 里,然后重启 Nginx 即可生效。

if ($request_method !~* GET|POST) { return 444; }
#使用444错误代码可以更加减轻服务器负载压力。
#防止SQL注入
if ($query_string ~* (\$|'|--|[+|(%20)]union[+|(%20)]|[+|(%20)]insert[+|(%20)]|[+|(%20)]drop[+|(%20)]|[+|(%20)]truncate[+|(%20)]|[+|(%20)]update[+|(%20)]|[+|(%20)]from[+|(%20)]|[+|(%20)]grant[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]where[+|(%20)]|[+|(%20)]select[+|(%20)]|[+|(%20)]and[+|(%20)]|[+|(%20)]or[+|(%20)]|[+|(%20)]count[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]chr[+|(%20)]|[+|(%20)]mid[+|(%20)]|[+|(%20)]like[+|(%20)]|[+|(%20)]iframe[+|(%20)]|[\<|%3c]script[\>|%3e]|javascript|alert|webscan|dbappsecurity|style|confirm\(|innerhtml|innertext)(.*)$) { return 555; }
if ($uri ~* (/~).*) { return 501; }
if ($uri ~* (\\x.)) { return 501; }
#防止SQL注入
if ($query_string ~* "[;'<>].*") { return 509; }
if ($request_uri ~ " ") { return 509; }
if ($request_uri ~ (\/\.+)) { return 509; }
if ($request_uri ~ (\.+\/)) { return 509; }

#if ($uri ~* (insert|select|delete|update|count|master|truncate|declare|exec|\*|\')(.*)$ ) { return 503; }
#防止SQL注入
if ($request_uri ~* "(cost\()|(concat\()") { return 504; }
if ($request_uri ~* "[+|(%20)]union[+|(%20)]") { return 504; }
if ($request_uri ~* "[+|(%20)]and[+|(%20)]") { return 504; }
if ($request_uri ~* "[+|(%20)]select[+|(%20)]") { return 504; }
if ($request_uri ~* "[+|(%20)]or[+|(%20)]") { return 504; }
if ($request_uri ~* "[+|(%20)]delete[+|(%20)]") { return 504; }
if ($request_uri ~* "[+|(%20)]update[+|(%20)]") { return 504; }
if ($request_uri ~* "[+|(%20)]insert[+|(%20)]") { return 504; }
if ($query_string ~ "(<|%3C).*script.*(>|%3E)") { return 505; }
if ($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})") { return 505; }
if ($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})") { return 505; }
if ($query_string ~ "proc/self/environ") { return 505; }
if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)") { return 505; }
if ($query_string ~ "base64_(en|de)code\(.*\)") { return 505; }
if ($query_string ~ "[a-zA-Z0-9_]=http://") { return 506; }
if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") { return 506; }
if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") { return 506; }
if ($query_string ~ "b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)b") { return 507; }
if ($query_string ~ "b(erections|hoodia|huronriveracres|impotence|levitra|libido)b") {return 507; }
if ($query_string ~ "b(ambien|bluespill|cialis|cocaine|ejaculation|erectile)b") { return 507; }
if ($query_string ~ "b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)b") { return 507; }
#这里大家根据自己情况添加删减上述判断参数,cURL、wget这类的屏蔽有点儿极端了,但要“宁可错杀一千,不可放过一个”。
if ($http_user_agent ~* YisouSpider|ApacheBench|WebBench|Jmeter|JoeDog|Havij|GetRight|TurnitinBot|GrabNet|masscan|mail2000|github|wget|curl|Java|python) { return 508; }
#同上,大家根据自己站点实际情况来添加删减下面的屏蔽拦截参数。
if ($http_user_agent ~* "Go-Ahead-Got-It") { return 508; }
if ($http_user_agent ~* "GetWeb!") { return 508; }
if ($http_user_agent ~* "Go!Zilla") { return 508; }
if ($http_user_agent ~* "Download Demon") { return 508; }
if ($http_user_agent ~* "Indy Library") { return 508; }
if ($http_user_agent ~* "libwww-perl") { return 508; }
if ($http_user_agent ~* "Nmap Scripting Engine") { return 508; }
if ($http_user_agent ~* "~17ce.com") { return 508; }
if ($http_user_agent ~* "WebBench*") { return 508; }
if ($http_user_agent ~* "spider") { return 508; } #这个会影响国内某些搜索引擎爬虫,比如:搜狗
#拦截各恶意请求的UA,可以通过分析站点日志文件或者waf日志作为参考配置。
if ($http_referer ~* 17ce.com) { return 509; }
#拦截17ce.com站点测速节点的请求,这些测速网站的数据仅供参考不能当真的。
if ($http_referer ~* WebBench*") { return 509; }
#拦截WebBench或者类似压力测试工具,其他工具只需要更换名称即可。

如图:

云服务器通过宝塔面板配置Nginx 防止SQL注入和XSS攻击

由于这段代码的作者说明,if ($http_user_agent ~* "spider") { return 508; } #这个会影响国内某些搜索引擎爬虫,比如:搜狗。所以,对于新站可以把这一行删掉,搜狗的流量虽然不多,但是蚊子腿再小也是肉哦。

赞(3)
转载请保留:云门网 » 云服务器通过宝塔面板配置Nginx 防止SQL注入和XSS攻击
标签:

相关推荐

  • 暂无文章

评论 抢沙发

取消

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
阿里云代金券 腾讯云代金券
VULTR 50元 Ucloud云主机

腾讯云代金券

购买云服务器代金券可抵现金

代金券面值及使用规则如下

代金券100元:满200元减100元

代金券250元:满500元减250元

代金券500元:满1000元减500元

代金券1000元:满2000元减1000元

腾讯云¥2860 代金券

腾讯云服务器价格

腾讯云1核2G服务器6M带宽58元/年

腾讯云2核4G服务器8M带宽70元/年

腾讯云2核4G服务器3M带宽268元/年

腾讯云4核8G服务器5M带宽628元/年

腾讯云8核/16G/1M-10M带宽1837元/年起

腾讯云16核/32G/1M-10M带宽3942元/年起

腾讯云服务器活动查看

猜你喜欢

热门标签

云服务器 (25)宝塔面板 (14)服务器 (13)建站 (12)云主机 (11)VPS (10)wordpress (9)VULTR (8)轻量应用服务器 (6)防火墙 (6)国外VPS (5)阿里云代金券 (5)自己建站 (4)SEO (4)腾讯云服务器 (4)Nginx (4)阿里云 (4)阿里云服务器 (4)虚拟主机 (3)域名 (3)云服务器换IP (3)纯代码 (3)腾讯云 (3)服务器管理面板 (2)服务器管理工具 (2)ucloud (2)免费CDN (2)cloudflare (2)CDN (2)搬瓦工 (2)

测试

测试测试测试测试测试测试测试测试测试