今天无意间查看访问日志发现一个fhxywh.com的域名居然解析到了我的服务器,也就是说通过这个域名也能访问我的博客,这个就是赤裸裸的恶意域名解析了. 这个危害非常大,不仅会影响用户,而且不利于SEO,影响网站收录权重,甚至由于恶意域名没有备案等原因导致服务器被关闭,因此配置了下nginx解决此问题. 有两种方式 一是直接返回403,404或者500页面不给看. 打开Nginx配置文件nginx.conf,新增一行默认的server改成如下状态: server { listen 80 defau…

为了防止别人恶意将大量域名解析到自己的网站上面.我们可以对nginx做防止恶意域名解析,这样就只能通过自己的域名访问网站,其他域名就会显示错误500 打开Nginx配置文件nginx.conf,在原来的server添加一个server配置如下: server {listen 80 default;return 500;} 这表示当外来域名解析到这个站点上时,直接会返回500错误,这就有效防止了恶意解析. 为了能匹配自己的域名,如:www.xxx.com我们还需要再添加一个server serve…

恶意域名指向: 比如,有一个垃圾域名将解析指向到了你们服务器的IP,一般多一个解析可能不会有什么问题,但是现在全民备案时期,可能你的运营商会联系你,说你们的域名没备案,可能会封你们的80端口,然后会导致你们的网页访问不了.等之类的情况. nginx屏蔽此类恶意域名指向的步骤如下: 1. 找到nginx.conf文件,加上或者修改默认配置,比如如下配置.<第4行至第8行,添加一个server段> 1 # Default vhost 2 # 3 4 server { 5 listen 80 def…

server { listen default_server; server_name _; ssl on; ssl_certificate /etc/nginx/cert/aaaa.pem; ssl_certificate_key /etc/nginx/cert/aaaa.key; ; }…

https://www.xlongwei.com/detail/nginx-%E5%B1%8F%E8%94%BD%E6%81%B6%E6%84%8F%E8%AF%B7%E6%B1%82 nginx可以很方便地做访问控制,特别是一些偶发性的大量恶意请求,需要屏蔽处理. 屏蔽ip地址 location /someapi/ {allow ip; #特定接口只开放给某个ip调用deny all;} location /somepage/ {deny ip; #屏蔽某个ip访问(iptables可以拒绝某…

问题: nginx启动或者reload的时候,会对proxy_pass后面的域名进行DNS解析,如果解析失败,启动就会失败或者reload失败. 我们是to B的产品,客户的环境可能是不通公网的,因此不能使用公网DNS服务,进而导致在ng启动的时候,对proxy_pass后紧跟域名的dns解析失败,最终导致nginx启动失败. 解决方案: 不直接在proxy_pass后写域名,而通过变量的方式配置,如下: set $target https://www.xxx.com; proxy_pass $…

思考了几种方案,最终考虑使用ip黑名单的方式: 处理方法: 一.nginx黑名单方式: 1.过滤日志访问API接口的IP,统计每10分钟调用超过100次的IP,直接丢进nginx的访问黑名单 2.具体步骤: 编写shell脚本: vim /shell/nginx_cutaccesslog.sh #!/bin/bash log_path=/xxx/nginx/logs date=`date -d "10 min ago" +%Y%m%d-%H:%M:%S` nginxpid=`cat $…

找到具有明显特征的访问记录,比如: /Dec/::: +] "-" "Ouija_x.86/2.0" "-" 也许是某个开源框架的漏洞,执行参数上带的方法,达到下载指定文件然后执行的目的,由于危险性,所以 shell_exec 这类函数默认在 php.ini 是禁用的. 匹配特征找出不重复的 IP,写入文件: $ cat /data/nginx_xxx/access.log | grep shell_exec | awk '{print $1}'…

当nginx配置文件中的default如果遇到解析指向问题的时候 ,配置了中文 没有用 后来找了找这个网址 http://tools.jb51.net/punycode/ 然后进去转换了一下 把 评估侠.com 转为了 xn--tpq9js60n.com 然后配置一下就可以了…

下载地址:http://learning.happymmall.com/ 前提:ftpserver已经开启,并且设置为: 1.获得安装文件 2.修改配置文件 2.1 修改conf/nginx.conf 引入此文件夹内的配置文件. 2.2 vhost文件夹 新建文件夹:vhost和相关配置文件. 2.3 文件夹转发 vhost/image.imooc.com 注意: root C:\ftpfile\img; 千万不要多加一个\变为root C:\ftpfile\img\; server { lis…

转载:http://liyangliang.me/posts/2016/04/nginx-aws-elb-name-resolution/…

写在前面的话 上一节我们谈了关于 nginx 服务器的一些简单的安全优化问题,能够帮助我们解决一部分线上服务存在的安全隐患.但是想要提升用户体验这是原因不够的,我们还需要从服务的优化方面入手. 本节更多的还是偏理论的东西,会给出相应的配置.可能有些就无法立即做测试. 访问优化:静态压缩 我们知道一个网站总会有一些 CSS/JS 等静态文件需要加载,如果用户每次请求都需要去服务器下载一遍,比如 Jquery 这种根本不会变的.明显会造成带宽的浪费.同时由于用户可能本身网速还不好,就容易给用户带来不…

相对于 Apache,Nginx 占用的系统资源更少,更适合 VPS 使用.恶意的 User Agent 无处不在,博客更换到 WordPress 没几天,就被 SPAM(垃圾留言)盯上,又被暴力破解后台用户名密码.以前介绍过 Apache 使用 .htaccess 屏蔽恶意 User Agent,今天来介绍 Nginx 屏蔽恶意 User Agent的方法. 先上规则&注释 #禁用未初始化变量警告 uninitialized_variable_warn off; #匹配各种 bad user…

深度优化LNMP之Nginx [2]   配置Nginx gzip 压缩实现性能优化 1.Nginx gzip压缩功能介绍        Nginx gzuo压缩模块提供了压缩文件内容的功能,用户请求的内容在发送出用客户端之前,Nginx服务器会根据一些具体的策略实施压缩,以节约网站出口带宽,同时加快了数据传输效率,提升了用户访问体验.   2.Nginx gzip 压缩的优点 1.提升网站用户体验:由于发给用户的内容小了,所以用户访问单位大小的页面就快了,用户体验提升了,网站口碑就好了. 2.…

Nginx的安装 # yum install gcc pcre-devel zlib-devel –y #./configure –prefix=/usr/local/nginx #make && make install 启动nginx: # /usr/local/nginx/sbin/nginx # lsof -i:80 基本配置: 配置文件 worker_processes   1; 定义工作进程的数量.建议为CPU核心数量.(六核为6) events { worker_connec…

1.根据扩展名限制程序和文件访问: web2.0时代,绝大多数网站都是以用户为中心的,这些产品有一些共同点,就是不允许用户发布内容到服务器,还允许用户发图片甚至附件上传到服务器上,给用户开启了上传的功能.带来了很大的安全隐患. 下面将利用nginx配置禁止访问上传资源目录下的PHP,SHELL,PERL,PYTHON程序文件,这样就算是用户上传了木马文件也没办法执行 location ~ ^/images/.*\.(php|php5|.sh|.pl|.py)$ { deny all; } loc…

Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,处理请求是异步非阻塞的,多个连接(万级别)可以对应一个进程.而Apache是同步多进程模型,一个连接对应一个进程. #user nobody; #指定nginx进程数 worker_processes ; #全局错误日志及PID文件 #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log in…

Nginx服务优化详解 1.隐藏Nginx版本信息 编辑主配置文件nginx.conf,在http标签中添加代码 server_tokens off;来隐藏软件版本号. 2.更改Nginx服务启动的默认用户 编译安装的时候指定用户或者在安装后在配置文件中指定. 3.优化Nginx服务worker进程个数 Nginx服务worker processes的值通常为cpu的核数. worker_processes 8; worker_connectiosn 20480; ##work_connecti…

一:什么是恶意域名解析 一般情况下,要使域名能访问到网站需要两步,第一步,将域名解析到网站所在的主机,第二步,在web服务器中将域名与相应的网站绑定.但是,如果通过主机IP能直接访问某网站,那么把域名解析到这个IP也将能访问到该网站,而无需在主机上绑定,也就是说任何人将任何域名解析到这个IP就能访问到这个网站. 二:恶意域名解析的危害 可能您并不介意通过别人的域名访问到您的网站,但是如果这个域名是未备案域名呢? 假如那域名是不友善的域名,比如曾经指向非法网站,容易引发搜索引擎惩罚,连带IP受到牵…

1.配置Nginx gzip压缩实现性能优化 1.Nginx gzip压缩功能介绍  Nginx gzip压缩模块提供了压缩文件内容的功能,用户请求的内容在发送出用客户端之前,Nginx服务器会根据一些具体的策略实施压缩,以节约网站出口带宽,同时加快了数据传输效率,提升了用户访问体验. 2.Nginx gzip 压缩的优点  1.提升网站用户体验:由于发给用户的内容小了,所以用户访问单位大小的页面就快了,用户体验提升了,网站口碑就好了.  2.节约网站带宽成本,由于数据是压缩传输的,因此,此举节…

Nginx配置文件性能微调 全局的配置 user www-data; pid /var/run/nginx.pid; worker_processes auto; worker_rlimit_nofile 100000; worker_process定义了nginx对外提供Web服务时的worker进程数,起始可以设置为CPU的核数,CPU核数是多少就设置为多少(设置为"auto"将自动检测) worker_rlimit_nofile更改worker进程的最大打开文件限制,如果没设置的…

(1)nginx运行工作进程个数,一般设置cpu的核心或者核心数x2 如果不了解cpu的核数,可以top命令之后按1看出来,也可以查看/proc/cpuinfo文件 grep ^processor /proc/cpuinfo | wc -l [root@lx~]# vi/usr/local/nginx1.10/conf/nginx.conf worker_processes  4; [root@lx~]# /usr/local/nginx1.10/sbin/nginx-s reload [roo…

四,Nginx站点目录及文件URL访问控制 4.1 根据扩展名限制程序和文件访问 Web2.0时代,绝大多数网站都是以用户为中心多的,例如:bbs,blog,sns产品,这几个产品都有一个共同特点,就是不但允许用户发布内容到服务器,还允许用户发图片甚至上传附件到服务器上,由于为用户开了上传功能,因此给服务器带来了很大的安全风险.虽然很多程序在上传前会着一定的控制,例如:文件大小,类型等,但是,一不小心就会被黑客钻了控制,上传了木马程序. 下面将利用Nginx配置禁止访问上传资源目录下的PHP,S…

Nginx配置文件性能微调 全局的配置 user www-data; pid /var/run/nginx.pid; worker_processes auto; worker_rlimit_nofile 100000; worker_process定义了nginx对外提供Web服务时的worker进程数,起始可以设置为CPU的核数,CPU核数是多少就设置为多少(设置为"auto"将自动检测) worker_rlimit_nofile更改worker进程的最大打开文件限制,如果没设置的…

nginx的优化 ． gzip压缩优化 ． expires缓存有还 ． 网络IO事件模型优化 ． 隐藏软件名称和版本号 ． 防盗链优化 ． 禁止恶意域名解析 ． 禁止通过IP地址访问网站 ． HTTP请求方法优化 ． 防DOS攻击单IP并发连接的控制,与连接速率控制 . 严格设置web站点目录的权限 . 将nginx进程以及站点运行于监牢模式 . 通过robot协议以及HTTP_USER_AGENT防爬虫优化 . 配置错误页面根据错误码指定网页反馈给用户 . nginx日志相关优化访问日志切割轮…

Nginx日志相关优化与安全 日志切割脚本如下: #!/bin #日志切割脚本 Date=`date +%Y%m%d` Bdir="/usr/local/nginx" Nginxlogdir="$Bdir/logs" Logname="access" [ -d $Nginxlogdir ] && cd $Nginxlogdir ||exit [ -f /bin/mv "$Logname".log "$…

1.多个server_name容易产生冲突,会按照如下顺序匹配 1.首先选择所有的字符串完全匹配的server_name.(完全匹配) 2.选择通配符在前面的server_name,如*.bgx.com www.bgx.com 3.选择通配符在后面的server_name,如bgx.* bgx.com bgx.cn 4.最后选择使用正则表达式匹配的server_name 5.如果全部都没有匹配到,那么将选择在listen配置项后加入[default_server]的server块 6.如果没写,…

一.性能优化概述 基询imm能优化,那么在性能优化这一章,我们将分为如下几个方面做介绍 1.首先我们需要了解性能优化要考虑哪些方面. 2.然后我们需要了解性能优化必须要用到的压力测试工具ab. 3.最后我们需要了解系统上有哪些注意和优化点,以及Nginx配置文件. 我们在做性能优化工作前,我们重点需要考虑哪些方面,和了解哪些方面. 1.首先需要了解我们当前系统结构和瓶颈,了解当前使用的是什么,运行的是什么业务,都有哪些服务,了解每个服务最大能支撑多大并发.比如Nginx作为静态资源服务的并发是多…

一.性能优化概述 1.我们需要了解 1.首先需要了解我们当前系统的结构和瓶颈,了解当前使用的是什么,运行的是什么业务,都有哪些服务,了解每个服务最大能支撑多少并发.比如nginx作为静态资源服务并发是多少,最高瓶颈在哪里,能支持多少qps(每秒查询率)的访问请求,那我们怎么得出这组系统结构瓶颈呢,比如top查看系统的CPU负载.内存使用率.总得运行进程等,也可以通过日志去分析请求的情况,当然也可以通过我们前面介绍到的stub_status模块查看当前的连接情况,也可以对线上的业务进行压力测试(低…

1.大家有过这方面的困扰,就是自己的网站给其他人恶意域名解析到自己的服务器ip上. 特别不爽,那大家可以用用空主机头的方法. 先给大家看下我的nginx.conf配置 http { log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent"…