Как сделать чтоб nginx не отвечал если запрашивается определённый url?

http://wiki.nginx.org/HttpEchoModule#echo_sleep где-то там

Не то. Он всё таки отвечает после задержки, а я хочу чтоб он вообще не отвечал и ресурсы не тратил (желательно чтоб память, которая под сокет выделена, освободил), но соединение не закрывал полностью, что клиент не знал что него забили.

а что если редиректить клиента на какой-нибудь microsoft.com? :3

Кстати это идея. Буду редиректить на microsoft.com:666.

А не проще ли это сделать через fail2ban? И TARPIT вместо DROP.

Тут уже в какой-то теме проскакивало - редиректь его на какой-нибудь iso-шник дистрибутива любого.

> редиректь его на какой-нибудь iso-шник дистрибутива любого.

Думаю, боты не настолько тупы, чтоб идти по редиректам на внешние домены.

Хочу отомстить всем кто ищет на моём web-сервере phpMyAdmin, MySQL и всякие уязвимости.

их скрипты юзают таймауты же

Тут уже в какой-то теме проскакивало - редиректь его на какой-нибудь iso-шник дистрибутива любого.

Лучше уж тогда бесконечно но с очень маленькой скоростью (чтобы ресурсы особо не тратить) отдавать рандомные данные

бесконечно но с очень маленькой скоростью (чтобы ресурсы особо не тратить)

На игнор вообще ресурсы не тратятся, поэтому он лучше.

отдавать рандомные данные

А случайные данные откуда брать?

2012/04/16 16:45:04 [crit] 8895#0: *754 "/dev/urandom" is not a regular file …

На игнор вообще ресурсы не тратятся, поэтому он лучше.

Разумеется, но этот способ эффектнее.

А случайные данные откуда брать?

Не поверишь, генерировать. Разумеется, /dev/urandom через HTTP не отдашь, тут стандартными средствами вряд ли можно будет обойтись.

а как это реализуется на fail2ban? он же вроде для того, чтоб блочить после неудачных попыток аутентификации

А зачем они ищут phpmyadmin?

много ботов пытаются взломать сервер используя уязвимости которые нашли в phpmyadmin (получают доступ к шеллу юзера, а потом пытаются получить рут и сервер превращается в зомби). Сам неоднократно видел такие сервера (похаченные именно через дыру в phpmyadmin).

return 444; наверно лучшее, что можно сделать.

http://nginx.org/en/docs/http/ngx_http_rewrite_module.html#return

In addition, the non-standard code 444 closes a connection without sending a response header.

Итить.

Я phppgadmin использую для того, чтобы по-быстрому создать какую-нибудь таблицу на предмет поиграться. Получается, надо с этим делом завязывать.

не забудь обновлять его, а лучше огроничь доступ по ip и будет тебе счастье.

Обновляется-то всё регулярно. Другое дело, что pgadmin-то меньше людей разрабатывает, скорее всего. Ладно хоть администратором нельзя залогиниться.

Ограничить доступ по IP, увы, никак.

а у вас nginx? может быть поможет это:

  location /phpmyadmin/ {
    allow 127.0.0.1;
    deny all;
  }

а как это реализуется на fail2ban?

Например.

положи его в путь недефолтный, этого хватит

Spoofing И ходить на него по ssh с links, чо. Глобально и надёжно. Он же не на локалхосте.

xtraeft Так и сделаю, спасибо.

Блин, thread highjack. Автор, я не хотел, честное слово.

И ходить на него по ssh с links

Spoofing скорее всего имел в виду, сделать так чтобы pgadmin был доступен через веб, но в url вида http://example.com/topsecreturl666pgadmin/ а не http://example.com/phpmyadmin

ох, нет. извините перепутал комменты.

Ходить можете из любого места, просто поменяйте 127.0.0.1 на другой IP или даже подсеть.

Блин, thread highjack. Автор, я не хотел, честное слово.

Ok.

return 444; наверно лучшее, что можно сделать.

Spoofing, пока так и сделал. По хорошему наверно надо написать свой модуль для nginx, который будет дропать клиентов но при этом не будет сообщать им об этом.

их скрипты юзают таймауты же

xtraeft, вот и пусть ждут ответа пока таймаут не кончится, а не до тех пор пока мой сервер им скажет 404.

Что-то заинтересовался nginx и строением западла всем плохим людям, нашёл вот что: https://calomel.org/nginx.html

Там так и советуют делать (444).

И ходить на него по ssh с links, чо. Глобально и надёжно. Он же не на локалхосте.

Осиль SSH-тунели.

Если бы на всех компютерах, с которых я туда хочу заходить, я мог бы устанавливать любое ПО, проблем бы не было. Я бы вообще тупо поставил бы туда постгрес и настроил бы репликацию.

вот и пусть ждут ответа пока таймаут не кончится, а не до тех пор пока мой сервер им скажет 404.

ты такой наивный :)
как будто кому то от этого хуже будет

вот и пусть ждут ответа пока таймаут не кончится, а не до тех пор пока мой сервер им скажет 404.

ты такой наивный :)
как будто кому то от этого хуже будет

Ну а кто знает, может у них «умный» скрипт и если ему не отвечают он хост из своего списка убирает.

Но вообще я согласен, что тот нехороший человек который этот скрипт запустил даже не заметит, что ему один хост не ответил. Вот если бы, хотябы половина веб-серверов в интернете такую «защиту» имела — нехорошим людям пришлось бы несладко.