Hapicode

# Nginx web サーバーのセキュリティ

[error] 2988348#2988348: *489243 open() "/usr/share/nginx/html/upl.php" failed (2: No such file or directory), client: ***.***.***.***, server: , request: "GET /upl.php HTTP/1.1", host: "***.***.***.***"

環境

  • Ubuntu 22
  • nginx/1.18.0

# Nginx 設定ファイル

  • ファイル /etc/nginx/nginx.conf
  • http ブロック修正
http {
    # 大量リクエストを制限し、DDoS や悪意のあるスクレイピングを防ぎ
    # 1秒間に5リクエストまで許可
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;

    # 不要な情報の非表示
    server_tokens off;

    # ファイルやディレクトリのリスト表示を無効化
    autoindex off;

    # 悪意のあるリクエストをブロック
    if ($query_string ~* "wget|curl|rm|chmod|sh") {
        return 403;
    }
}

# server ブロック修正

server {
    listen 80;
    server_name hapicode.com;
    root /var/www/laravel/public;
    index index.php;

    location / {
        # クロスサイトスクリプティング(XSS)やクリックジャッキングを防ぎ
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-Protection "1; mode=block";

        # 悪質な User-Agent をブロックï
        if ($http_user_agent ~* (python|curl|wget|scrapy|bot)) {
            return 403;
        }

        # リクエストのパラメータに SELECT や DROP などの SQL キーワードが含まれる場合、ブロック
        if ($query_string ~* "union.*select.*\(") {
            return 403;
        }
        if ($query_string ~* "drop.*table") {
            return 403;
        }
    }

    # 攻撃者が .php や .sh を実行禁止
    location ~* \.(php|sh|exe|cgi|pl|py)$ {
        deny all;
    }

    # .htaccess .env .git などの機密ファイルへのアクセスを禁止
    location ~ /\.(?!well-known).* {
        deny all;
        access_log off;
        log_not_found off;
    }
}

# 監視ツールを導入

access.log を監視して自動でアラート表示、通知、遮断したりするツールを導入検討

ツール 機能 メリット 向いている用途
GoAccess リアルタイム監視 & 可視化 Web UI で確認可能 高速なログ解析
Logwatch 定期レポート生成 メールでレポート送信 1 日 1 回の確認
Fail2Ban 不正 IP 自動ブロック 攻撃者の IP を遮断 セキュリティ強化
Swatch リアルタイムアラート すぐに通知が来る 怪しいアクセス即対応
2025-02-05
  • server

関連記事

Laravel Address already in use の原因

laravel artisan serve したら Failed to listen on 127....

AWS EC2 の amazon-linux-extras の話

Amazon linux2 EC2 インスタンスのパッケージ管理ツール amazon-linux-e...

AWS CloudWatch ログ監視で Lambda 処理

Cloudwatch ログ監視して Lambda 処理でチャットワーク送信したり、カスタマイズ処理を...

デプロイツール Capistrano

Capistrano とはデプロイ自動化ツール PHPプロジェクトをAWS Beanstalk に自...

Amazon DynamoDB 制限調査

AWS DynamoDB制限について調べたが、容量制限がアイテムあたり400KBでリクエスト制限もあ...

AWS 504 Gateway Timeout エラー対応

AWSロードバランサー利用して504エラー発生、504の原因と対応を調査してまとめました。...

AWS Elastic Beanstalk php.ini 設定変更

configファイル使って aws php post_max_size upload_max_fil...

AWS Elastic Beanstalk 環境設定

amazon EB Elastic Beanstalkデフォルト設定と環境プロパティについて...

Elastic Beanstalk \$\SERVER['REMOTEADDR'] 取得できない

ELBで php ユーザーIP取得できなかったので、AWSのセキュリティとロードバランサーについて学...

AWS Unresolved resource dependencies [AWSEBV2LoadBalancer] エラー

aws ELBデプロイでUnresolved resource dependencies AWSEB...

Shell と Bash のいろいろ

ShellとBashの違いと歴史について学習しました。カラフルにBash使うためにGit Bash使...

AWS SES メール開封確認  DB に集計

メール送信の開封確認して DB更新するために使う AWS サービス SES SNS LAMBDA と...

crontab 設定いろいろ

crontabコマンドとオプションなどの細かい設定いろいろまとめ...

Centos7 Webserver 構築の時のメモ

centos7にphp apacheのウェブサーバー構築、リポジトリ作成してnginx nodejs...

DDNS 無料ダイナミック DNS サービス 4 つ

国内外にあるDDNS無料サービス4つについて調べました。制限の少ないDDNS Nowはいい評判な理由...

content-security-policy 設定

Content-Security-Policy 設定でエラー解消するためにnetlify conte...

ディスク容量を確認する df コマンド

サーバーのディスク容量確認する dfコマンドの使い方について dfコマンドの...

Docker command でドッカー練習する時のメモ

docker使ってコンテナ操作イメージ操作など、秒単位でウェブサーバー立ち上げると気持ち爽快!doc...

AWS のタイムゾーンを UTC 協定世界時から JST 日本標準時に変更

AWSの時間が9時間ずれる!UTCからAsia/Tokyo JSTに変更...

Docker Supervisor 使ってバッチ処理

Amazon ECS Dockerfile に Supervisor でプロセス管理します。Lara...

Windows10 Home に Docker 入れた時のメモ

windows homeでもdocker使えます。windows proしかdocker入らないと思...

Docker の基本的な使い方

環境統一作業効率で使われるDockerfileなど、さくらナレッジの記事を読んで改めてDockerの...

ジェネレーティブ AI と大規模言語モデル(LLM)を学ぶためのリソース

ChatGPTに惹かれてLLM勉強をはじめました。第1歩英語記事を日本語に翻訳して資料を集める編...

Windows Mac Linux hosts ファイル場所

windows hosts mac hosts と linux hostsファイル場所とhostsの...

VPS サーバーのセキュリティー fail2ban

VPSサーバーのUbuntuに総当たりブルートフォース攻撃受けているようで、慌てて fail2ban...

メールサーバー移行と POP & IMAP 設定

メールサーバーを別のサーバーへ引っ越し作業があったので、資料まとめました。...

自宅サーバー構築!  Nextcloud で NAS クラウドストレージ

NAS 自宅ストレージサーバーをNextcloudで自作するまで、大容量で安全安心のローカルマシンに...

robots.txt の書き方

robots.txtの書き方、よく使う例などrobots.txtの遊び方について...

Nginx 基本設定

ウェブサーバーNginxの基本設定、バーチャルホスト、ベース認証、SSL設定について...

SPF メール送信なりすまし対策

メール送信なりすまし対策フィッシング詐欺対策に SPF レコードを追加して簡単に送信元IPアドレス認...

積水ハウス 個人情報流出 SQL インジェクション攻撃か

積水ハウスの会員制サイトが攻撃を受け、顧客と従業員情報などが流出と公表した。...

5 分で VPN サーバー立てる! wg-easy の使い方

自前のVPNサーバー構築して、地域制限を回避してYoutubeみたり、セキュア通信したりできるように...

xserver に nodejs インストール

nodebrewツール使うと誰でもできるレンタルサーバー・エックスサーバーにnodejsインストール...

よく使う WSL コマンド

Windows WSL インストールして本物のLinux環境をWindowsで楽しめる Ubuntu...

Vim 操作とショートカット

Linux OS なら Vim 知らない人はいないくらい高性能エディター Vim の各種コマンド シ...

解決! xserver php バージョンアップした時に ssh 環境に反映されない

xserverのphp5から7にアップした時にssh環境ではバージョン5のままでした。...

XZ Utils 事件対応

バックドアを利用してssh経由でリモートから侵入する悪意がある XZ Utils メンテナンスについ...

xserver に vim インストール

viから脱出してxserverのvim設定...

Ubuntu で Web サーバーを構築する手順

UbuntuでWebサーバーを構築する手順についてのメモ...

Mac ターミナル SSH 接続設定

Mac SSH 接続方法とSSHの歴史、各種設定など。Macターミナルでssh接続は以外と便利で使い...

レンタルサーバーなら xserver おすすめ理由

レンタルサーバーのxserverの評価はどう?って思うエンジニアからみるxserverと愛用する理由...

ZeroSSL で無料 SSL できるけど Let's Encrypt と比較

SSL無料証明書はLets Encrypt以外にZeroSSLも一つの選択として存在します。...

oh my zsh 使うべし

カラフルでコマンドがわかりやすいzshが使いやすいので、zshとoh my zshのインストールにつ...

youtube 見れるように vpn サーバー建ててみた

自己研究用にCentOSにvpnサーバー建ててyoutube見ました。...

no such file or directory: /usr/share/zsh/vendor-completions/_docker

wslのUbuntuにzshインストールして使ってますが、突然にwarning errorになったた...