Hola colegas,
Por estos días estoy montando un servidor web con Nginx (en Debian
Jessie) y al revisar las trazas me han llamado la atención unas
entradas:
En /var/log/nginx/access.log:
115.230.127.237 - - [04/Sep/2015:14:13:16 -0400] "GET
http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.0623891042912144
HTTP/1.1" 404 200 "-" "Mozilla/5.0 (comp
atible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"
En /var/log/nginx/error.log:
2015/09/04 14:13:16 [error] 59274#59274: *16 open()
"/var/www/html/cgi-bin/common/attr" failed (2: No such file or
directory), client: 115.230.127.237, server: _,
request: "GET
http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.0623891042912144
HTTP/1.1", host: "zc.qq.com"
Tengo pensado trastear las reglas de naxsi y además hacer unas reglitas
para fail2ban, pero alguien sabe si existen medidas adicionales que
puedan tomarse en la propia configuración de Nginx para minimizar el
riesgo de tales intentos de explotar posibles vulnerabilidades?
He instalado Nginx (variante nginx-naxsi del repositorio dotdeb) y he
aqui el contenido del archivo /etc/nginx/sites-available/default:
server {
listen 80 default_server;
server_name _;
root /var/www/html;
index index.html;
location / {
try_files $uri $uri/ =444;
}
location ~* \.(ico|gif|png|jp(e|e?g)|css|js|eot)$ {
valid_referers none blocked server_names elequipo.eldominio.tld
eldominio.tld;
if ($invalid_referer) {
return 403;
}
}
location ~ \.php$ {
fastcgi_read_timeout 20s;
fastcgi_intercept_errors off;
include fastcgi_params;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
set $SavedPathInfo $fastcgi_path_info;
fastcgi_param PATH_INFO $SavedPathInfo;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
try_files $fastcgi_script_name =444;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
}
}
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l