[Django] ERROR (EXTERNAL IP): Invalid HTTP_HOST header — странный такой спам. | Форум

16 Ноя. 2016, 14:51

N.E.M

Отклики: 1262

16 Ноя. 2016, 14:51

N.E.M

Отклики: 1262

После настройки почты на сервере стали приходить такие сообщения об ошибках:

Invalid HTTP_HOST header: 'www.8xbxb.com'. You may need to add 'www.8xbxb.com' to ALLOWED_HOSTS.

… и далее обычный трейсбек.

Приходят часто. Обращаются к сайту по всяким странным доменам, наводящим на нехорошие мысли, и по ip-адресу. Разумеется, в реальности ничего такого на этом сервере нет, свежесозданный дроплет на digitalocean.

Что это вообще за ерунда такая? Стоит беспокоиться?

Ответ | 0

16 Ноя. 2016, 17:02

RaD

Отклики: 2709
Местонахождение: Снегири, МО

16 Ноя. 2016, 17:02

RaD

Отклики: 2709
Местонахождение: Снегири, МО

Помнишь мой рецепт про WSGI и Apache? Там я писал как на одном IP адресе сидят много доменов. Какой-то тупой скрипт упорно пытается на твоём IP найти левый сайт.

Если ничего не помогает, прочтите документацию, наконец!

Ответ | 0

16 Ноя. 2016, 17:55

alexscrat

Отклики: 447
Местонахождение: Poltava

16 Ноя. 2016, 17:55

alexscrat

Отклики: 447
Местонахождение: Poltava

Это потому что не надо настраивать nginx так как у вас. Я почему то думаю, что у вас nginx, вы вроде когда-то упоминали. В /etc/nginx/sites-enabled/ есть файл default. Это файл конфигурации по умолчанию. Образно говоря он хэндлит все запросы пришедние на 80й порт, если не нашлось более подходящей конфигурации. Так вот, если вы настроили все в нем, то у вас с левыми доменами приходят запросы на ваш айпишник, разгребаются по default и идут в джангу, а джанга не пропускает эти запросы из-за ALLOWED_HOSTS и все отваливается. Настройте nginx и будет вам счастье

Ответ | 0

16 Ноя. 2016, 18:04 N.E.M Отклики: 1262	16 Ноя. 2016, 18:04 N.E.M Отклики: 1262 Какой-то тупой скрипт упорно пытается на твоём IP найти левый сайт. так да, это очевидно. Но не совсем понятно, просто забить, или есть повод для беспокойства.
	Ответ \| 0

16 Ноя. 2016, 18:08

N.E.M

Отклики: 1262

16 Ноя. 2016, 18:08

N.E.M

Отклики: 1262

Это потому что не надо настраивать nginx так

и точно!

Файла default там, разумеется, нет. Но в конфигурации сайта есть listen 80 default_server ибо сильно хотелось видеть сайт по ip-адресу ещё до того, как домен перенесён со старого хостинга.

Ответ | 0

16 Ноя. 2016, 18:27

alexscrat

Отклики: 447
Местонахождение: Poltava

16 Ноя. 2016, 18:27

alexscrat

Отклики: 447
Местонахождение: Poltava

Файла default там, разумеется, нет.

Ну не угадал. Но суть не поменялась.

Если нет default nginx будет считать настройками по умолчанию первый попавшийся файл, если не ошибаюсь, не помню точно просто. Скорее всего ваш. Зря удалили default короч.

Проверить можно легко. сделайте у себя запись в /etc/hosts с левым доменом и нужным IP и попробуйте зайти на сайт.

ибо сильно хотелось видеть сайт по ip-адресу ещё до того, как домен перенесён со старого хостинга.

И что помешало в конфигурации помимо домена указать еще и IP напрямую? Он бы и так и так работал

Обновлено 16 Ноя. 2016, 18:27 alexscrat.

Ответ | 0

16 Ноя. 2016, 21:27

N.E.M

Отклики: 1262

16 Ноя. 2016, 21:27

N.E.M

Отклики: 1262

nginx будет считать настройками по умолчанию…

так ведь default_server и есть ему такая директива.

И что помешало в конфигурации помимо домена указать еще и IP напрямую?

в голову не пришло. Но с другой стороны это и ладно, всё равно решение исключительно временное, которое убивается, как только сервер настроен и домен перенесён.

А что это вообще такое? Всякие домены типа www.aszw8.com, www.7b71.com. Явно же подозрительная лажа какая-то. Не может ли оказаться, что теперь ip-адрес в каких-нибудь чёрных списках, и это может как-то негативно сказаться на работе сайта? Как-то вообще такое проверяется?

Ответ | 0

16 Ноя. 2016, 22:54

alexscrat

Отклики: 447
Местонахождение: Poltava

16 Ноя. 2016, 22:54

alexscrat

Отклики: 447
Местонахождение: Poltava

https://nginx.org/ru/docs/http/request_processing.html

Я имел ввиду то, что написано в первых абзацах. По умолчанию сервер отправляет на первый сконфигурированный обработчик, если он не указан явно через директиву. Если хотите, чтобы к вам не доходило, то сконфигурируйте явно пустой обработчик как обычно сделано в файле default. По поводу черных списков - то все фигня, если от вас траффик не шел, последствий нет

Ответ | 0

25 Ноя. 2016, 14:40

N.E.M

Отклики: 1262

25 Ноя. 2016, 14:40

N.E.M

Отклики: 1262

и всё же переживаю.

Обращения по адресам типа

Request URL: http://138.68.97.188/MyAdmin/scripts/setup.php
Request URL: http://138.68.97.188/myadmin/scripts/setup.php
Request URL: http://138.68.97.188/pma/scripts/setup.php
Request URL: http://138.68.97.188/phpmyadmin/scripts/setup.php
Request URL: http://138.68.97.188/phpMyAdmin/scripts/setup.php

Причём пачками, прямо сотнями в течение минуты.

Ну это ж явно какие-то роботы-взломщики. Причём ни на каком другом сайте (а у меня на поддержке десятка три их) ничего подобного нет.

Сейчас сделано такое в nginx:

server {
        listen 80 default_server;
        listen [::]:80 default_server;

        rewrite ^ http://127.0.0.1/;
}

Пока включено такое правило, сообщений о странных обращениях к сайту нет. Стоит выключить — часа не проходит, как опять валятся сообщения.

И вроде бы понятно, что ищут какие-то стандартные уязвимости, которых на данном конкретном сервере нет просто потому что нет софта, в котором их ищут, но какое-то беспокойство всё равно.

Обновлено 25 Ноя. 2016, 14:43 N.E.M.

Ответ | 0

25 Ноя. 2016, 15:02

alexscrat

Отклики: 447
Местонахождение: Poltava

25 Ноя. 2016, 15:02

alexscrat

Отклики: 447
Местонахождение: Poltava

и всё же переживаю.

Обращения по адресам типа

Request URL: http://138.68.97.188/MyAdmin/scripts/setup.php

Request URL: http://138.68.97.188/myadmin/scripts/setup.php

Request URL: http://138.68.97.188/pma/scripts/setup.php

Request URL: http://138.68.97.188/phpmyadmin/scripts/setup.php

Request URL: http://138.68.97.188/phpMyAdmin/scripts/setup.php

Причём пачками, прямо сотнями в течение минуты.

Ну это ж явно какие-то роботы-взломщики. Причём ни на каком другом сайте (а у меня на поддержке десятка три их) ничего подобного нет.

Сейчас сделано такое в nginx:

server {
   listen 80 default_server;

   listen [::]:80 default_server;



   rewrite ^ http://127.0.0.1/;
}

Пока включено такое правило, сообщений о странных обращениях к сайту нет. Стоит выключить — часа не проходит, как опять валятся сообщения.

И вроде бы понятно, что ищут какие-то стандартные уязвимости, которых на данном конкретном сервере нет просто потому что нет софта, в котором их ищут, но какое-то беспокойство всё равно.

ботнет собирают, сканируют. че тут необычного? Вы главное редис секьюрте, а то проблем не оберешься.. муахаха

Обновлено 25 Ноя. 2016, 15:02 alexscrat.

Ответ | 0

25 Ноя. 2016, 15:17

N.E.M

Отклики: 1262

25 Ноя. 2016, 15:17

N.E.M

Отклики: 1262

Каких проблем? Что может быть? Чего вообще опасаться больше всего? И почему оказалось, что именно вот этому серверу досталось такое счастье? Как вообще можно провериться на уязвимости? А то в вопросах безопасности я вообще где-то около нуля.

Ответ | 0

25 Ноя. 2016, 15:36

alexscrat

Отклики: 447
Местонахождение: Poltava

25 Ноя. 2016, 15:36

alexscrat

Отклики: 447
Местонахождение: Poltava

Та с такими вопросами к админам надо. Тут немного не то место. Если словите malware вам Digital Ocean, если вы у них, пришлют письмо, заблочат дроплет и скажут либо перенести на новый либо исправить. По безопасности в среднем хватит хорошего пароля и некорявого ПО нормальных версий. Если конкретно о редисе, то например вот - http://redis.io/topics/security. погуглите короч. Там прикол в том, что раньше в туториале не было ни слова о безопасности и 99% юзеров ставили его с настройками по умолчанию. А в нем дыра есть, через которую можно получить доступ к файловой системе, положить на сервер свой ssh ключ, а дальше насколько у вас фантазии хватит))) Чтобы не попасть в ботнет - не делайте глупостей. Если атака направлена на вашего клиента, то тоже не делайте глупостей, но тут вы сами не защититесь. Кроме того, вероятность того, что вас на фишинг словят выше, чем взлом непосредственно сервера.

Короче вы там у себя щас фигней занимаетесь. Настройте nginx нормально, если попараноить хочется - попросите помощи у техподдержки DO. Я думаю они вам обьяснят что к чему, мб даже проверят чего

И почему оказалось, что именно вот этому серверу досталось такое счастье?

Ну даже не знаю. Засветился раз сервер, вот иногда и поглядывают хулиганистые мальчики под юбку вашей машинке, авось еще чего-нибудь приоткроет

Обновлено 25 Ноя. 2016, 15:43 alexscrat.

Ответ | 0

25 Ноя. 2016, 16:25

N.E.M

Отклики: 1262

25 Ноя. 2016, 16:25

N.E.M

Отклики: 1262

ну доступ по паролю там вообще только в админку сайта, больше никуда, софта ровно такой минимум, чтобы простой сайт обслуживать, ufw только пару портов держит открытыми.

Вряд ли хозяина сайта атакуют, атаки начались с момента создания дроплета, когда никто, кроме нас двоих, не знал о его существовании. Будем надеяться, что это не страшно. Пробуют-то довольно тупые пионерские дырки, явно на авось.

Ответ | 0

28 Ноя. 2016, 22:13