NGINXハッキングの試み
テストサーバーを起動して数日間実行するたびに、これを(さまざまなバリエーションの)ログファイルで取得します。
111.241.26.165 - - [18/Feb/2014:22:16:45 +0100] "\x04\x01\x00\x19\xCBER!\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:46 +0100] "\x05\x01\x00" 400 172 "-" "-"
111.241.26.165 - - [18/Feb/2014:22:16:47 +0100] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-"
Gitlabのような一部のWebAppは、GoogleAuthenticatorでnginx(プロキシ)を介して実行されています。
IDS/IPSを(その数日間)セットアップする必要がありますか?はいの場合、どれをセットアップしますか?
これらはプロキシサーバーのスキャンです。最初の1つはSOCKS4プロキシをテストし、2番目はSOCKS5プロキシをテストし、3番目はサーバーがCONNECTリクエストを介して「貴重な」ポート(この場合はSMTP)への転送を許可するかどうかをテストします。あなたはそれについて心配する必要はありません、それはあなたが公共のサーバーで見ることを期待するものです。サーバーは400の戻りコードで応答するので、すべて正常です。
セキュリティが心配な場合は、naxsiモジュールをnginxで使用し、そのような試みをルールで少し明示的にキャッチできます。とても満足しています-高速で軽量です。
また、Cloudflareも確認してください。これは無料/安価であり、この種の「インターネットノイズ」、つまり既知の脆弱性に対する自動化された大量侵入テスト、または既知の悪意のあるIP範囲からのトラフィックのみをブロックするための優れた方法です。www.cloudflare.com