alpik
@alpik
no I, no mine

Не работает nginx limit_request, как убрать спам /bitrix/spread.php?

Приветствую сообщество.
Столкнулся с тем, что на сайт клиента (вордпрес) в аксеслог постоянно сыпятся запросы от нескольких магазинов на битрикс, никак не связанных с сайтом клиента, по несколько штук в секунду:
89.113.82.65 - - [26/Mar/2020:00:51:58 +0300] "GET /bitrix/spread.php?s=QklUUklYX1NNX0FCVEVTVF9zMQEyfEIBMTYxNjI3NzA2NwEvAQEBMQJCSVRSSVhfU01fR1VFU1RfSUQBMzgwNTcwMwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfVklTSVQBMjYuMDMuMjAyMCAwMDo1MTowNwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfQURWATdfWQExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX1NBTEVfVUlEAWNiYTBhNWJjMjUzYmVhZTRmYTA3ZTdmYWQ4ZDk1NjY2ATE2MTYyNzcwNjcBLwEBAQI%3D&k=288b2bcff188397376b49230480fadb7 HTTP/1.1" 444 0 "https://volzhskiy.mirpnevmatiki.ru/gde-mozhno-post..." "Mozilla/5.0 (Linux; NetCast; U) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/53.0.2785.34 Safari/537.31 SmartTV/6.0"
89.113.82.65 - - [26/Mar/2020:00:51:58 +0300] "GET /bitrix/spread.php?s=QklUUklYX1NNX0FCVEVTVF9zMQEyfEIBMTYxNjI3NzA2NwEvAQEBMQJCSVRSSVhfU01fR1VFU1RfSUQBMzgwNTcwMwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfVklTSVQBMjYuMDMuMjAyMCAwMDo1MTowNwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfQURWATdfWQExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX1NBTEVfVUlEAWNiYTBhNWJjMjUzYmVhZTRmYTA3ZTdmYWQ4ZDk1NjY2ATE2MTYyNzcwNjcBLwEBAQI%3D&k=288b2bcff188397376b49230480fadb7 HTTP/1.1" 444 0 "https://volzhskiy.mirpnevmatiki.ru/gde-mozhno-post..." "Mozilla/5.0 (Linux; NetCast; U) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/53.0.2785.34 Safari/537.31 SmartTV/6.0"
89.113.82.65 - - [26/Mar/2020:00:51:58 +0300] "GET /bitrix/spread.php?s=QklUUklYX1NNX0FCVEVTVF9zMQEyfEIBMTYxNjI3NzA2NwEvAQEBMQJCSVRSSVhfU01fR1VFU1RfSUQBMzgwNTcwMwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfVklTSVQBMjYuMDMuMjAyMCAwMDo1MTowNwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfQURWATdfWQExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX1NBTEVfVUlEAWNiYTBhNWJjMjUzYmVhZTRmYTA3ZTdmYWQ4ZDk1NjY2ATE2MTYyNzcwNjcBLwEBAQI%3D&k=288b2bcff188397376b49230480fadb7 HTTP/1.1" 444 0 "https://volzhskiy.mirpnevmatiki.ru/gde-mozhno-post..." "Mozilla/5.0 (Linux; NetCast; U) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/53.0.2785.34 Safari/537.31 SmartTV/6.0"
89.113.82.65 - - [26/Mar/2020:00:51:58 +0300] "GET /bitrix/spread.php?s=QklUUklYX1NNX0FCVEVTVF9zMQEyfEIBMTYxNjI3NzA2NwEvAQEBMQJCSVRSSVhfU01fR1VFU1RfSUQBMzgwNTcwMwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfVklTSVQBMjYuMDMuMjAyMCAwMDo1MTowNwExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX0xBU1RfQURWATdfWQExNjE2Mjc3MDY3AS8BAQECQklUUklYX1NNX1NBTEVfVUlEAWNiYTBhNWJjMjUzYmVhZTRmYTA3ZTdmYWQ4ZDk1NjY2ATE2MTYyNzcwNjcBLwEBAQI%3D&k=288b2bcff188397376b49230480fadb7 HTTP/1.1" 444 0 "https://volzhskiy.mirpnevmatiki.ru/gde-mozhno-post..." "Mozilla/5.0 (Linux; NetCast; U) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/53.0.2785.34 Safari/537.31 SmartTV/6.0"


Подобного спама очень много, если я правильно понял - сайт на битриксе заражен или неправильно настроен, и адрес сайта клиента подставляется в код страницы. При каждой загрузке страницы сайта на битрикс легальным клиентом - уходит запрос авторизации /bitrix/spread.php.

В связи с этим, блокировать по ip не спешу (можно заблокировать потенциального клиента), настроил возврат кода 444 для подобных запросов, но не получается настроить limit_request

Сайт за DDOS-Guard - может быть, проблема в этом?
Пробовал выставлять вместо $binary_remote_addr $realip_remote_addr - результат тот же.

настройки в блоке http nginx:
set_real_ip_from 186.2.160.0/24;
real_ip_header X-Real-IP;
limit_req_zone $binary_remote_addr zone=spam:20m rate=1r/m;

настройки в блоке сервер:
location ~* /(?:bitrix|phpmyadmin) {
        limit_req zone=spam delay=1;
        return 444;
        break;
}


код 444; выставляется правильно, при этом настройки лимитов игнорируются, в error лог ничего не приходит.
Помогите пожалуйста разобраться, что происходит с limit_request.
И есть ли способ отсечь этот трафик, не блокируя по ip.
  • Вопрос задан
  • 90 просмотров
Решения вопроса 1
@dodo512
Просто конструкция return 444; срабатывает раньше, чем limit_req и обработка запроса завершается ещё до проверки лимитов.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы