xperator's questions

最近我的服务器开始受到匿名扫描仪/蛮力的轰炸。

这就是攻击后我的 nginx access.log 的样子：

xxx.xxx.xxx.xxx - - [07/Sep/2019:23:30:16 +0200] "GET /phpMyAdmin/index.php HTTP/1.1" 404 548 "-" "Mozilla/5.0..
xxx.xxx.xxx.xxx - - [07/Sep/2019:23:30:18 +0200] "GET /admin/index.php HTTP/1.1" 404 548 "-" "Mozilla/5.0..

连同他们试图访问的大量其他网址/管理页面/随机名称。我做了一些研究，fail2ban 出现了。所以我安装了它。

我把它打开了一段时间，但攻击又发生了。我意识到默认设置[nginx-botsearch]并不能捕获所有攻击，更不用说它的日志路径配置错误了。

我做了一些谷歌搜索并确定了这个自定义过滤器：

# /etc/fail2ban/jail.local

[nginx-404-errors]
enabled = true
port     = http,https
logpath  = /var/log/nginx/*.log
maxretry = 2

# /etc/fail2ban/filter.d/nginx-404-errors.conf

[Definition]
failregex = ^<HOST>.*"(GET|POST|HEAD).*" (404|444|403|400) .*$
ignoreregex =

这工作得很好，但攻击者/s 决定点击 http。但问题是我在 nginx 上有一个 http 到 https 的重定向规则。

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$server_name$request_uri;
}

所以现在我得到了大量的 301 重定向登录access.log。我想也许我应该在301上面使用的正则表达式中添加一个。所以现在是：

failregex = ^<HOST>.*"(GET|POST|HEAD).*" (404|444|403|400|301) .*$

攻击暂时停止。但我担心普通访问者在尝试通过 http 访问该站点时可能会遇到麻烦，而 fail2ban 可能会选择他们。

这是我应该减轻这种蛮力攻击的方式吗？还是我应该采取不同的路线？

我正在使用这些软件运行一个简单的 vpn 服务器：

• 开放式VPN
• 影袜
• MTProto 代理

我的服务器配置是：

• Ubuntu 18.04 x64
• 512内存，1vCPU
• UFW防火墙
• 网络数据监控
• Nginx

距离我开始运行服务器仅几天时间。问题是 Netdata 每隔几个小时就会向我发送这 3 种类型的错误。

• “服务器需要注意，ipv4.udperrors（udp），1m ipv4 udp接收缓冲区错误=12个错误”
• “服务器需要注意，net_drops.tun0 (tun0)，出站数据包丢弃 = 34 个数据包”
• “服务器需要注意，net_packets.tun0(tun0)，出站丢包率=0.33%”

我认为这没什么大不了的，所以我忽略了它们。

我不确定这是防火墙问题、系统瓶颈还是提到的 3 个 vpn 软件之一性能不佳。

我查看了几乎每个日志文件，/var/log但在服务器无法访问之前我找不到任何错误或问题。我不确定服务器是否冻结或崩溃。因为在某个点之后没有日志。直到我们确实强制重启。

我已经在 debian(jessie v8.2) 系统上从源代码编译了 nginx v1.9.6。但它没有按预期工作。1.9.3版本没有任何问题。

当我尝试运行时，service nginx start我收到此消息：

nginx.service 启动失败：单元 nginx.service 加载失败：没有这样的文件或目录。

我使用这些参数进行配置：

配置参数： --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/ nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx。锁定 --user=myuser --group=myuser --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-http_ssl_module --with-http_v2_module --with-file-aio --with-ipv6 --没有-http_memcached_module

我想负载平衡 + 故障转移备份托管在不同供应商的多个 vps 网络服务器。

我听说对于 HAProxy，您需要同一子网下的多个服务器，以及负载均衡器之间的共享（虚拟）IP 地址。

但在我的情况下这是不可能的，因为每个 VPS 都在不同的节点/网络上。

1. 有没有办法在这种设置中使用 HAProxy？（请简要说明，我不想听到你的“是”答案）
2. NginX 呢？使用 Nginx 是否有可能达到相同的结果？（当服务器位于不同网络时）

我知道 Round Rubin DNS，但它没有提供真正的故障转移解决方案，也没有提供服务器之间的负载平衡。

我正在尝试用PHP编写一个发送传真的前端。我想知道如何获得传真作业的状态。

当用户发送传真时，如何向用户报告工作状态？目的地线路繁忙、无法到达等情况下。

是否有任何日志文件或命令包含可传输到前端的特定传真作业的状态？所以我可以向用户报告成功/失败的消息。

我知道faxstat -d，但它是所有工作的报告，我无法在 php 端获取它。

如您所见，输出格式不是很容易解析的格式。

仅供参考，这里是所有状态代码的列表。

我查看了 Hylafax 的文档，但找不到任何关于如何跟踪工作状态的信息。

客户要求使用php 编写的Web 传真应用程序。但我不知道该怎么做。

我相信 php 或任何其他 web 应用程序不能直接与调制解调器通信。所以应该有某种服务或守护进程来处理这项工作，并且是 Web 界面和调制解调器之间的线路。

HylaFAX尝试用谷歌搜索一些东西，然后出现了一些类似的词AvantFax。还是想不通。

我更喜欢自己编写 Web 界面以获得自定义语言支持和更好的用户体验。

所以最后我要问的是如何从头开始实现网络到传真应用程序。从设置服务器到制作 Web 应用程序。甚至一些指示也会有所帮助。

我想知道有没有办法将linux 系统的类似快照的备份制作成单个文件并在另一个系统中恢复它？

您知道在 Windows 中有一些程序可以将驱动器（如 C:\ ）复制到单个图像文件中。因此，您可以稍后恢复此文件，以防您被感染或发生某些事情。

每次我想将我的vps迁移到另一台主机时，我必须从头开始设置新服务器并手动移动文件。我可以只对整个系统进行快照备份并将其恢复到其他地方（或在同一台服务器上）吗？

我不熟悉 linux，我不知道这在技术上是否可行？分区、配置、系统文件等……对于每个系统都是单独的吗？

我听说过rsync，但这不是我要找的。

我只想防止 nmap 和被认为对我的 VPS 有害的数据包（设置：Debian - Nginx 网络服务器）。应用这些规则并断开与 ssh 的连接后，我无法再重新连接。

所以我联系了提供商并要求他们从后端刷新规则。有人可以告诉我哪些规则是错误的或配置错误吗？那里有没有不需要的不必要的规则？

我从一个名为“Iptabled 提示和技巧”的问题中收集了这些信息，我认为它会忽略任何类型的数据包攻击。

iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -s 169.254.0.0/16 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -j DROP
iptables -A INPUT -d 224.0.0.0/4 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -j DROP
iptables -A INPUT -d 240.0.0.0/5 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -j DROP
iptables -A INPUT -d 239.255.255.0/24 -j DROP
iptables -A INPUT -d 255.255.255.255 -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -A INPUT -p tcp --syn -m limit --limit 7/s -m recent --name blacklist --set -j DROP
iptables -A INPUT -m recent --rcheck --nam blacklist -j DROP
iptables -A INPUT -p tcp -i eth0 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10 -j DROP
iptables -A FORWARD -p tcp -i eth0 -m state --state NEW -m recent --set
iptables -A FORWARD -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 30 --hitcount 10

我有一个运行 Ngix 的 VPS，目前托管了几个网站。如您所知，VPS 资源不足，安全措施应由客户完成。

我刚刚注意到许多压力工具在那里可能会导致网络服务器崩溃或服务器吃掉可能最终挂起的全部资源。我的 Windows 电脑中有 LoadUI。甚至还有类似的在线服务，例如 LoadImpact.com

它甚至不需要同时运行10个或数千个工具，即使是一个孩子也可以在这些工具中输入域名并运行大量并发连接的测试，充分利用服务器带宽、硬件资源等..

我想知道我应该如何防止这些洪水攻击？它应该由 Iptables 处理吗？还是 Nginx？