网站被镜像反向代理应该如何解决?

这次,小编来给大家说说关于一种黑技术 ”反代“,如果被反向代理了,那就是说整个站几乎都被镜像代理了,这对自己的站危害甚大啊。那么,网站被镜像反向代理应该如何解决呢?接下来,小编就给大家说说吧。

网站被镜像反向代理应该如何解决
网站被镜像反向代理应该如何解决

如果某天查看Nginx日志发现自己的网站被设置301 跳转了,想想只是跳转,没实际危害就算了。但是,如果站长你查询日志,发现居然变本加厉反向代理了整个站,再查发现居然还开了好多个域名反代,那得自己行动,保护自己的网站了。

一、恶意反代的危害

  • 首先肯定会占用服务器资源,网站打开速度受影响。
  • 其次,别人通过代理盗用你的网站数据,对用户与不是那么智能的搜索引擎而言,相当于建了一个与你一模一样的站点,那么很有可能你的站点会进搜索引擎沙箱,甚至被降权。
  • 如果被恶意代理的页面,还挂有你的联盟广告(比如 Adsense),这就十分危险了,如果有人点击了上面的广告,很容易被 Adsense 封号。
  • 还有很多危害,可以自行脑补 ……

二、如何屏蔽反代

屏蔽方法很多,可以在系统层面利用防火墙屏蔽,可以在服务上屏蔽,也可以在内容上屏蔽,没有必要都配置一遍,选择合适的即可。

1、防火墙配置

如果代理服务器是直接连接我们服务器,可以在防火墙上禁止该 IP 连接,以 CentOS 7 为例:

[root@UN ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address="1.1.1.1" drop' --permanent
[root@UN ~]# firewall-cmd --reload

如果代理服务器更换了 IP,我们就要再配置防火墙,而且若代理服务器使用了 CDN 来反代,那么这种方法将不适用,除非你确定自己也不会用 CDN。

2、Nginx 配置

在站点配置文件中新增一段:

server {
......
       if ($host !~ vircloud.net) {
           return 444;
       }
......
}

代理服务器访问直接不回应,若要跳转到自己的网站,可以把 444 改成网站链接,此方法最简单彻底。

3、.htaccess 屏蔽

.htaccess

RewriteEngine On
RewriteBase /
php_value auto_append_file proxy.php
Sh
Copy

proxy.php

<?php
$f = getenv("HTTP_X_FORWARDED_FOR");
$server = getenv("HTTP_HOST");
if (($f!="")&&($server!="vircloud.net")&&($server!="www.vircloud.net")){
    echo '本服务器禁止反向代理!';
}
?>

4、JavaScript 屏蔽

直接在网页中添加:

<script type="text/javascript">  
if (document.domain != 'vircloud.net' && document.domain != 'www.vircloud.net'){  
window.location.href='https://www.vircloud.net/';  
}  
</script>  

如果是反代者使用了 iframe,那么应该再加一段判断:

<script type="text/javascript">
  if (top.location != self.location) {
    top.location=self.location;
}
</script>

或者

<script type="text/javascript">
var url=window.location.href;
if(window!=parent)
parent.navigate(url);
</script>

厉害的反代者会直接把 js 替换掉,所以这种方法不能完美屏蔽。

5、PHP 屏蔽

$proxy_rs = $this -> proxy_filter();
if( $proxy_rs != 'vircloud.net' || $proxy_rs != 'www.vircloud.net' )
{
    echo '非法反向代理访问';
    header('Location: http://www.vircloud.net/');
    exit;
}
public function proxy_filter()
{
    $svrUrl = 'http://' . $_SERVER['SERVER_NAME'].$_SERVER["PHP_SELF"];
    if (!empty($_SERVER["QUERY_STRING"]))
    {
        $svrUrl .= "?".$_SERVER["QUERY_STRING"];
    }
    return $svrUrl;
    return $_SERVER['SERVER_NAME'];
}

6、refer 屏蔽

此方法针对 301 跳转,Nginx 下配置:

server{
.....
if ($http_referer ~* (.*\.abc.com|abc.com)){
  return 444;
}
......
}

原创文章,作者:SONIC SEO,如若转载,请注明出处:https://www.seo388.com/fandai/

(3)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2019年11月26日 18:36
下一篇 2019年11月27日 00:21

相关推荐

  • 在域名解析的过程中TTL是什么意思?

    TTL  (生存时间值) TTL是 Time To Live的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。TTL是IPv4包头的一个8 bit字段。 下面举个例子还帮助你了解TTL是什么意思。 假如: 有这样一个域名www.seo388.com,对应IP地址为1.1.1.1,把它的TTL设为3600秒,这条记录存储在一台DNS服务器上。 现…

    2019年10月28日
    02.8K
  • 转载:网站安全防护:记一次入侵网站的过程

    网站安全案例分享:记一次入侵网站的过程!某集团、招聘网集体沦陷;通过这个网站入侵的案例告诫大家做好网站安全的必要性,日常操作一定要谨慎仔细,稍有不慎就成为别人的肉鸡。 一,入侵小说网 当一切入侵方法无效时,使用暴力破解,无限穷举,尝试100亿次,总能找到正确的密码。 100亿次显然太多了,因为人们常用的密码极有规律,将生日、QQ号、幸运数字、手机号等拆分重组…

    2019年3月13日 网络安全
    01.1K
  • Linux系统的CentOS、Ubuntu、Debian三个版本的差别

    这次,小编来给小伙伴们科普一下,关于 “Linux系统的CentOS、Ubuntu、Debian三个版本的差别”。这三个不同版本的linux系统,你们知道吗?你们了解他们的区别吗?接下来,跟小编来看看吧。 在现今互联网中,Linux有非常多的发行版本,从性质上划分,大体分为由商业公司维护的商业版本与由开源社区维护的免费发行版本。 商业版本以Redhat为代表…

    2020年8月12日
    01.1K
  • 网站被黑问题的一个解决方法?查看FTP

    做为SEO站长,网站被黑见多不怪。也是众多新手站长棘手的问题。该怎么处理呢?笔者结合5年多的经验给大家提供一些解决思路和案例。   1,站点目录被黑 网站被黑百度搜索列表截图 被黑示例二 网站被黑百度搜索截图 解决办法,连接FTP找到恶意页面存放的目录,进行删除 。 网站被黑FTP工具截图

    2019年3月13日
    01.3K
  • 在阿里云备案后,我们还可以在百度云也备案吗?

    这次,小编来给大家说说,关于 “在阿里云备案后,我们还可以在百度云也备案吗?” 的这个问题吧。希望能帮助大家排忧解困。 问:在阿里云备案后,我们还可以在百度云也备案吗? 答:假如你是同一个备案主体,就备不了, 同一个备案主体,在工信部的备案系统里面,只能允许有且出现一个,面阿里云,跟百度云,都是属于接入商,所以,同一个备案主体,只能同时在一家接入商进行备案,…

    2020年8月23日
    0850
  • 关于Telegram电报群你们知道是怎么火起来的吗?

    随着智能手机的普及,出现了大批常用的聊天软件,互联网通讯无处不在,与人们的生活已经不可分割、息息相关了。那么,你知道Telegram电报群是怎么火起来的吗?今天,小编就来给大家说说 “Telegram电报群是如何火起来的?” 根据 TechCrunch 报道,即时通讯应用Telegram拟建立 TON (Telegram Open Network,“Tele…

    2020年4月10日
    04.9K
  • 推荐五款WordPress网站的web安全防护插件

    在人们的意识里,常常会有一个普遍的误区,大多数人可能会认为小型网站不会受到网络犯罪的威胁。事实上,现在网络犯罪比以往任何时候都要多。根据不完全数据统计调查显示,2018年,企业主因网络犯罪损失了3900万美元,这比2017年增长了161%。 如果你经营一家小型电子商务商店,你的WordPress网站很可能会成为黑客的攻击对象,其带来的结果可能是毁灭性的。20…

    2019年9月1日
    01.3K
  • 网络安全:简单地介绍关于文件包含漏洞

    这次,小编来介绍一下“关于文件包含漏洞”。 文件包含漏洞,一般来说,可以是这两种:文件包含漏洞分为本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)) 其实呢,文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行…

    2019年10月12日 网络安全
    01.5K
  • 你知道加密通讯工具的排名吗?Telegram电报群为什么排第一?

    现今社会,进入21世纪大互联网时代,随着科技的不断发展与互联网的大跃进,随着智能手机的普及,出现了大批常用的聊天软件,互联网通讯无处不在,与人们的生活已经不可分割、息息相关了。比如说:QQ、微信,以及LINE、Facebook Messenger、Skype、WhatsApp等,虽然功能差不多,但是安全性却查很多。 第三名:WhatsApp 小编首先要介绍的…

    2020年4月10日
    04.4K
  • WordPress防御攻击,防御cc攻击(频繁F5刷新)

    CC攻击是一种很常见的攻击,对于WordPress来说这方面的防御做的很差,F5都能刷死,解决方法那,可以给网站生成静态,比如用WP Super Cache插件,生成静态后即能加速还能减少服务器资源占用,推荐各位使用。但是这个方法也不是绝对的。推荐各位在加一段代码来防御CC。 将下面的防cc代码加入到当前使用wordpress企业主题的function.ph…

    2019年7月12日
    11.3K
  • 什么是微信不死域名?不死域名的原理是什么?

    今天,小编来给大家科普一下什么是不死域名,不死域名是什么东西呢?有好奇的小伙伴想知道吗?下面,小编就给大家科普一下吧。 什么是微信不死域名?什么是微信的二级不死域名?以及微信不死域名的原理是什么?   微信不死域名这个概念是有人故意创造出来的,它的别名很多包括:《微信二级不死域名》《微信防封域名》《微信防封二级域名》《微信绿标域名》《微信白名单域名…

    2019年8月2日
    12.0K
  • 关于灰色词菠菜SEO快照劫持和推广原理

    这次,小编来给大家说说与科普一下,“关于灰色词菠菜SEO快照劫持和推广原理”。希望能帮助不懂这块而又想知道这块东西的小伙伴们。好奇心嘛,大家都有! 本文转自小编老师无忧老大SEO站点的文章。ainiseo.com 作为SEO行业从事者,少不了经常被人咨询灰色词SEO波菜关键词的黑帽优化方法,由于自己只擅长白帽SEO正规手法,对黑帽SEO一无疑所知,转载本文来…

    2020年5月26日 科技科普
    02.3K