[Django] ERROR (EXTERNAL IP): Invalid HTTP_HOST header — странный такой спам. | Forum

16 Nov. 2016, 14:51

N.E.M

Posts: 1262

16 Nov. 2016, 14:51

N.E.M

Posts: 1262

После настройки почты на сервере стали приходить такие сообщения об ошибках:

Invalid HTTP_HOST header: 'www.8xbxb.com'. You may need to add 'www.8xbxb.com' to ALLOWED_HOSTS.

… и далее обычный трейсбек.

Приходят часто. Обращаются к сайту по всяким странным доменам, наводящим на нехорошие мысли, и по ip-адресу. Разумеется, в реальности ничего такого на этом сервере нет, свежесозданный дроплет на digitalocean.

Что это вообще за ерунда такая? Стоит беспокоиться?

Answer | 0

16 Nov. 2016, 17:02

RaD

Posts: 2826
Location: Снегири, МО

16 Nov. 2016, 17:02

RaD

Posts: 2826
Location: Снегири, МО

Помнишь мой рецепт про WSGI и Apache? Там я писал как на одном IP адресе сидят много доменов. Какой-то тупой скрипт упорно пытается на твоём IP найти левый сайт.

Если ничего не помогает, прочтите документацию, наконец!

Answer | 0

16 Nov. 2016, 17:55

alexscrat

Posts: 448
Location: Poltava

16 Nov. 2016, 17:55

alexscrat

Posts: 448
Location: Poltava

Это потому что не надо настраивать nginx так как у вас. Я почему то думаю, что у вас nginx, вы вроде когда-то упоминали. В /etc/nginx/sites-enabled/ есть файл default. Это файл конфигурации по умолчанию. Образно говоря он хэндлит все запросы пришедние на 80й порт, если не нашлось более подходящей конфигурации. Так вот, если вы настроили все в нем, то у вас с левыми доменами приходят запросы на ваш айпишник, разгребаются по default и идут в джангу, а джанга не пропускает эти запросы из-за ALLOWED_HOSTS и все отваливается. Настройте nginx и будет вам счастье

Answer | 0

16 Nov. 2016, 18:04 N.E.M Posts: 1262	16 Nov. 2016, 18:04 N.E.M Posts: 1262 Какой-то тупой скрипт упорно пытается на твоём IP найти левый сайт. так да, это очевидно. Но не совсем понятно, просто забить, или есть повод для беспокойства.
	Answer \| 0

16 Nov. 2016, 18:08

N.E.M

Posts: 1262

16 Nov. 2016, 18:08

N.E.M

Posts: 1262

Это потому что не надо настраивать nginx так

и точно!

Файла default там, разумеется, нет. Но в конфигурации сайта есть listen 80 default_server ибо сильно хотелось видеть сайт по ip-адресу ещё до того, как домен перенесён со старого хостинга.

Answer | 0

16 Nov. 2016, 18:27

alexscrat

Posts: 448
Location: Poltava

16 Nov. 2016, 18:27

alexscrat

Posts: 448
Location: Poltava

Файла default там, разумеется, нет.

Ну не угадал. Но суть не поменялась.

Если нет default nginx будет считать настройками по умолчанию первый попавшийся файл, если не ошибаюсь, не помню точно просто. Скорее всего ваш. Зря удалили default короч.

Проверить можно легко. сделайте у себя запись в /etc/hosts с левым доменом и нужным IP и попробуйте зайти на сайт.

ибо сильно хотелось видеть сайт по ip-адресу ещё до того, как домен перенесён со старого хостинга.

И что помешало в конфигурации помимо домена указать еще и IP напрямую? Он бы и так и так работал

Updated 16 Nov. 2016, 18:27 by alexscrat.

Answer | 0

16 Nov. 2016, 21:27

N.E.M

Posts: 1262

16 Nov. 2016, 21:27

N.E.M

Posts: 1262

nginx будет считать настройками по умолчанию…

так ведь default_server и есть ему такая директива.

И что помешало в конфигурации помимо домена указать еще и IP напрямую?

в голову не пришло. Но с другой стороны это и ладно, всё равно решение исключительно временное, которое убивается, как только сервер настроен и домен перенесён.

А что это вообще такое? Всякие домены типа www.aszw8.com, www.7b71.com. Явно же подозрительная лажа какая-то. Не может ли оказаться, что теперь ip-адрес в каких-нибудь чёрных списках, и это может как-то негативно сказаться на работе сайта? Как-то вообще такое проверяется?

Answer | 0

16 Nov. 2016, 22:54

alexscrat

Posts: 448
Location: Poltava

16 Nov. 2016, 22:54

alexscrat

Posts: 448
Location: Poltava

https://nginx.org/ru/docs/http/request_processing.html

Я имел ввиду то, что написано в первых абзацах. По умолчанию сервер отправляет на первый сконфигурированный обработчик, если он не указан явно через директиву. Если хотите, чтобы к вам не доходило, то сконфигурируйте явно пустой обработчик как обычно сделано в файле default. По поводу черных списков - то все фигня, если от вас траффик не шел, последствий нет

Answer | 0

25 Nov. 2016, 14:40

N.E.M

Posts: 1262

25 Nov. 2016, 14:40

N.E.M

Posts: 1262

и всё же переживаю.

Обращения по адресам типа

Request URL: http://138.68.97.188/MyAdmin/scripts/setup.php
Request URL: http://138.68.97.188/myadmin/scripts/setup.php
Request URL: http://138.68.97.188/pma/scripts/setup.php
Request URL: http://138.68.97.188/phpmyadmin/scripts/setup.php
Request URL: http://138.68.97.188/phpMyAdmin/scripts/setup.php

Причём пачками, прямо сотнями в течение минуты.

Ну это ж явно какие-то роботы-взломщики. Причём ни на каком другом сайте (а у меня на поддержке десятка три их) ничего подобного нет.

Сейчас сделано такое в nginx:

server {
        listen 80 default_server;
        listen [::]:80 default_server;

        rewrite ^ http://127.0.0.1/;
}

Пока включено такое правило, сообщений о странных обращениях к сайту нет. Стоит выключить — часа не проходит, как опять валятся сообщения.

И вроде бы понятно, что ищут какие-то стандартные уязвимости, которых на данном конкретном сервере нет просто потому что нет софта, в котором их ищут, но какое-то беспокойство всё равно.

Updated 25 Nov. 2016, 14:43 by N.E.M.

Answer | 0

25 Nov. 2016, 15:02

alexscrat

Posts: 448
Location: Poltava

25 Nov. 2016, 15:02

alexscrat

Posts: 448
Location: Poltava

и всё же переживаю.

Обращения по адресам типа

Request URL: http://138.68.97.188/MyAdmin/scripts/setup.php

Request URL: http://138.68.97.188/myadmin/scripts/setup.php

Request URL: http://138.68.97.188/pma/scripts/setup.php

Request URL: http://138.68.97.188/phpmyadmin/scripts/setup.php

Request URL: http://138.68.97.188/phpMyAdmin/scripts/setup.php

Причём пачками, прямо сотнями в течение минуты.

Ну это ж явно какие-то роботы-взломщики. Причём ни на каком другом сайте (а у меня на поддержке десятка три их) ничего подобного нет.

Сейчас сделано такое в nginx:

server {
   listen 80 default_server;

   listen [::]:80 default_server;



   rewrite ^ http://127.0.0.1/;
}

Пока включено такое правило, сообщений о странных обращениях к сайту нет. Стоит выключить — часа не проходит, как опять валятся сообщения.

И вроде бы понятно, что ищут какие-то стандартные уязвимости, которых на данном конкретном сервере нет просто потому что нет софта, в котором их ищут, но какое-то беспокойство всё равно.

ботнет собирают, сканируют. че тут необычного? Вы главное редис секьюрте, а то проблем не оберешься.. муахаха

Updated 25 Nov. 2016, 15:02 by alexscrat.

Answer | 0

25 Nov. 2016, 15:17

N.E.M

Posts: 1262

25 Nov. 2016, 15:17

N.E.M

Posts: 1262

Каких проблем? Что может быть? Чего вообще опасаться больше всего? И почему оказалось, что именно вот этому серверу досталось такое счастье? Как вообще можно провериться на уязвимости? А то в вопросах безопасности я вообще где-то около нуля.

Answer | 0

25 Nov. 2016, 15:36

alexscrat

Posts: 448
Location: Poltava

25 Nov. 2016, 15:36

alexscrat

Posts: 448
Location: Poltava

Та с такими вопросами к админам надо. Тут немного не то место. Если словите malware вам Digital Ocean, если вы у них, пришлют письмо, заблочат дроплет и скажут либо перенести на новый либо исправить. По безопасности в среднем хватит хорошего пароля и некорявого ПО нормальных версий. Если конкретно о редисе, то например вот - http://redis.io/topics/security. погуглите короч. Там прикол в том, что раньше в туториале не было ни слова о безопасности и 99% юзеров ставили его с настройками по умолчанию. А в нем дыра есть, через которую можно получить доступ к файловой системе, положить на сервер свой ssh ключ, а дальше насколько у вас фантазии хватит))) Чтобы не попасть в ботнет - не делайте глупостей. Если атака направлена на вашего клиента, то тоже не делайте глупостей, но тут вы сами не защититесь. Кроме того, вероятность того, что вас на фишинг словят выше, чем взлом непосредственно сервера.

Короче вы там у себя щас фигней занимаетесь. Настройте nginx нормально, если попараноить хочется - попросите помощи у техподдержки DO. Я думаю они вам обьяснят что к чему, мб даже проверят чего

И почему оказалось, что именно вот этому серверу досталось такое счастье?

Ну даже не знаю. Засветился раз сервер, вот иногда и поглядывают хулиганистые мальчики под юбку вашей машинке, авось еще чего-нибудь приоткроет

Updated 25 Nov. 2016, 15:43 by alexscrat.

Answer | 0

25 Nov. 2016, 16:25

N.E.M

Posts: 1262

25 Nov. 2016, 16:25

N.E.M

Posts: 1262

ну доступ по паролю там вообще только в админку сайта, больше никуда, софта ровно такой минимум, чтобы простой сайт обслуживать, ufw только пару портов держит открытыми.

Вряд ли хозяина сайта атакуют, атаки начались с момента создания дроплета, когда никто, кроме нас двоих, не знал о его существовании. Будем надеяться, что это не страшно. Пробуют-то довольно тупые пионерские дырки, явно на авось.

Answer | 0

28 Nov. 2016, 22:13 Svet Posts: 42 Location: Kyiv	28 Nov. 2016, 22:13 Svet Posts: 42 Location: Kyiv У меня примерно такая же фигня была на дроплете летом. Пару недель безуспешных попыток и тишина) А проверять на черноту айпишник при создании дроплета желательно. Сервисы проверки гуглятся.
	Answer \| 0

22 March 2017, 13:54

VolArt

Posts: 5
Location: Харьков

22 March 2017, 13:54

VolArt

Posts: 5
Location: Харьков

Не особо силен в нгинксе, но у меня была такая проблема на DO. Поправил настройки было вот так

proxy_set_header Host $host;

изменил на

proxy_set_header Host $server_name;

и соотвественно выше была задана настройка

server_name MY_DOMAIN;

После этого письма прекратили поступать хотя вот эта атака с подменой http заголовков хоста врятли...

Answer | 0