网站被镜像反向代理应该如何解决?

这次,小编来给大家说说关于一种黑技术 ”反代“,如果被反向代理了,那就是说整个站几乎都被镜像代理了,这对自己的站危害甚大啊。那么,网站被镜像反向代理应该如何解决呢?接下来,小编就给大家说说吧。

网站被镜像反向代理应该如何解决
网站被镜像反向代理应该如何解决

如果某天查看Nginx日志发现自己的网站被设置301 跳转了,想想只是跳转,没实际危害就算了。但是,如果站长你查询日志,发现居然变本加厉反向代理了整个站,再查发现居然还开了好多个域名反代,那得自己行动,保护自己的网站了。

一、恶意反代的危害

  • 首先肯定会占用服务器资源,网站打开速度受影响。
  • 其次,别人通过代理盗用你的网站数据,对用户与不是那么智能的搜索引擎而言,相当于建了一个与你一模一样的站点,那么很有可能你的站点会进搜索引擎沙箱,甚至被降权。
  • 如果被恶意代理的页面,还挂有你的联盟广告(比如 Adsense),这就十分危险了,如果有人点击了上面的广告,很容易被 Adsense 封号。
  • 还有很多危害,可以自行脑补 ……

二、如何屏蔽反代

屏蔽方法很多,可以在系统层面利用防火墙屏蔽,可以在服务上屏蔽,也可以在内容上屏蔽,没有必要都配置一遍,选择合适的即可。

1、防火墙配置

如果代理服务器是直接连接我们服务器,可以在防火墙上禁止该 IP 连接,以 CentOS 7 为例:

[root@UN ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address="1.1.1.1" drop' --permanent
[root@UN ~]# firewall-cmd --reload

如果代理服务器更换了 IP,我们就要再配置防火墙,而且若代理服务器使用了 CDN 来反代,那么这种方法将不适用,除非你确定自己也不会用 CDN。

2、Nginx 配置

在站点配置文件中新增一段:

server {
......
       if ($host !~ vircloud.net) {
           return 444;
       }
......
}

代理服务器访问直接不回应,若要跳转到自己的网站,可以把 444 改成网站链接,此方法最简单彻底。

3、.htaccess 屏蔽

.htaccess

RewriteEngine On
RewriteBase /
php_value auto_append_file proxy.php
Sh
Copy

proxy.php

<?php
$f = getenv("HTTP_X_FORWARDED_FOR");
$server = getenv("HTTP_HOST");
if (($f!="")&&($server!="vircloud.net")&&($server!="www.vircloud.net")){
    echo '本服务器禁止反向代理!';
}
?>

4、JavaScript 屏蔽

直接在网页中添加:

<script type="text/javascript">  
if (document.domain != 'vircloud.net' && document.domain != 'www.vircloud.net'){  
window.location.href='https://www.vircloud.net/';  
}  
</script>  

如果是反代者使用了 iframe,那么应该再加一段判断:

<script type="text/javascript">
  if (top.location != self.location) {
    top.location=self.location;
}
</script>

或者

<script type="text/javascript">
var url=window.location.href;
if(window!=parent)
parent.navigate(url);
</script>

厉害的反代者会直接把 js 替换掉,所以这种方法不能完美屏蔽。

5、PHP 屏蔽

$proxy_rs = $this -> proxy_filter();
if( $proxy_rs != 'vircloud.net' || $proxy_rs != 'www.vircloud.net' )
{
    echo '非法反向代理访问';
    header('Location: http://www.vircloud.net/');
    exit;
}
public function proxy_filter()
{
    $svrUrl = 'http://' . $_SERVER['SERVER_NAME'].$_SERVER["PHP_SELF"];
    if (!empty($_SERVER["QUERY_STRING"]))
    {
        $svrUrl .= "?".$_SERVER["QUERY_STRING"];
    }
    return $svrUrl;
    return $_SERVER['SERVER_NAME'];
}

6、refer 屏蔽

此方法针对 301 跳转,Nginx 下配置:

server{
.....
if ($http_referer ~* (.*\.abc.com|abc.com)){
  return 444;
}
......
}

原创文章,作者:SONIC SEO,如若转载,请注明出处:https://www.seo388.com/fandai/

(3)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2019年11月26日 18:36
下一篇 2019年11月27日 00:21

相关推荐

  • 实际上,渗透测试是什么?渗透测试的流程有哪些?

    这次,小编来给大家说说,关于 “渗透测试是什么?渗透测试的流程有哪些?” 的这个话题。 一般来说,其实呢,渗透测试是一种测试web应用程序、网络或计算机系统的方法,用于识别可能被利用的安全漏洞。主要目标是防止未经授权的访问、更改或利用系统。 渗透测试旨在针对已知的漏洞或跨应用程序发生的常见模式,不仅发现软件缺陷,还发现网络配置中的弱点。 为什么安全渗透测试很…

    2020年9月3日
    0679
  • 防范织梦dede被黑?安全防护设置教程

    织梦网站被黑一直是困扰站长SEO们的棘手问题,据数据调查90%的织梦CMS程序都有被网马植入攻击篡改的风险。也经常有学员来咨询网站被黑数据被恶意跳转劫持的问题。 给大家分享一个安装的插件,一键把你的低版本织梦网站程序升级为高版本。这是由dede58开发的(织梦安全补丁工具箱)为了解决大家用织梦建站常遇到的安全问题,官网介绍如下: 织梦58现发布织梦一键安全补…

    2019年3月13日
    01.3K
  • 不死域名与已备案域名购买平台推荐

    不死域名与已备案域名购买平台推荐,首选怀米网。怀米网的不死域名一般是链接阿里云服务商的,买了之后感觉不错,小编一买就买了10几个不死域名,不死域名1个10几元到上百元不等,也不贵。备案域名就一般会贵一些,个人已备案域名大概100元左右,企业备案域名一般268元到380元左右吧。不死域名+已备案的域名,两个条件同时存在的也是有的,也是大概268元到380元左右…

    2019年10月1日
    01.3K
  • 各位PhpStudy开发者的电脑是否已经成为了“肉鸡”?

    随着互联网的飞速发展,PC电脑端的软件越来越多,使用PC电脑端工作的人也越来越多了,几乎办公室不可能缺少PC电脑,家里现在也不可能缺少PC台式电脑。那么,大家是否有想过自己每天使用的PC电脑是否有后门?是否中了病毒了呢?是否有注意过网络安全呢? 最近有一则比较重要的网络安全新闻,小编也来转载一下,广而告之各位开发者,各位站长: ”各位PhpStudy开发者的…

    2019年9月26日 phpstudy
    01.0K
  • 转载:实战案例:精准入侵号码交易网与黑客远程定位

    这是第二篇关于网站安全与黑客攻防的案例教程,本文系转载内容介绍到的工具和思路仅供学习参考,做为站长SEO从业人员要提升警惕,不要成为别人攻击的对象。 切记:害人之心不可有,防人之心不可无。 一,谨防网络骗子 有位读者粉丝打算买6位数的QQ号,发来个网址,问是不是骗子。 顺手打开网址~网页如下图。 哎,如今的骗子真是越来越不长进了。 哥哥之前写过多篇行骗大术,…

    2019年3月13日 网络安全
    1950
  • 推荐五款WordPress网站的web安全防护插件

    在人们的意识里,常常会有一个普遍的误区,大多数人可能会认为小型网站不会受到网络犯罪的威胁。事实上,现在网络犯罪比以往任何时候都要多。根据不完全数据统计调查显示,2018年,企业主因网络犯罪损失了3900万美元,这比2017年增长了161%。 如果你经营一家小型电子商务商店,你的WordPress网站很可能会成为黑客的攻击对象,其带来的结果可能是毁灭性的。20…

    2019年9月1日
    01.1K
  • 匿名线上聊天室,一次性匿名在线聊天工具

    科技越来越发达了,但是科技进步的同时,大家有注意到私隐的问题嘛?美国多次曝光社交媒体公司频繁泄露用户的私隐,不仅如此,就连手机制造商也有泄露用户私隐的情况出现。那我们平时在互联网聊天的时候有什么需要注意的呢?如何保护我们的个人私隐不被泄露?如何从聊天软件入手去保护我们的私隐?这次小编来介绍一下比较安全的聊天工具吧。   相信大家会遇到这种情况:在某…

    2019年8月17日 网络安全
    03.7K
  • 在阿里云备案后,我们还可以在百度云也备案吗?

    这次,小编来给大家说说,关于 “在阿里云备案后,我们还可以在百度云也备案吗?” 的这个问题吧。希望能帮助大家排忧解困。 问:在阿里云备案后,我们还可以在百度云也备案吗? 答:假如你是同一个备案主体,就备不了, 同一个备案主体,在工信部的备案系统里面,只能允许有且出现一个,面阿里云,跟百度云,都是属于接入商,所以,同一个备案主体,只能同时在一家接入商进行备案,…

    2020年8月23日
    0713
  • 关于wordpress博客网站的杀毒教程

    这次,小编准备给大家介绍的是“关于wordpress博客网站的杀毒教程”。 实际上,WordPress建站非常简单,选择一个好的主题,多使用,多磨合,多练多时间,你就会了,你就熟悉了。 然而,关于网站中毒的话,虽然不是每个人都能遇到,遇到就非常麻烦了。 下面,是1个网站中了病毒的案例: 一个一直跟踪的网站流量被腰斩,起初以为这个是这个网站垃圾外链,被谷歌惩罚…

    2019年8月12日 网络安全
    0899
  • 如何注销网站域名的备案?

    这次,小编来给大家说说,“如何注销网站域名的备案?” 比如说你在百度云备案了域名是个人的或者是企业的,如果想注销备案的话,可以这么做哦。如下: 适用情况 如果您的网站在百度智能云完成备案,计划将该主体或网站的备案号注销,则您需要进行注销备案操作,包括注销主体和注销网站两类。 注销主体:注销主体和该主体下备案的所有网站。 注销网站:仅注销对应的网站。如果您的主…

    2020年8月23日
    0735
  • .co后缀域名在国内是否可以备案?

    这次,小编来给大家科普一下域名的相关小知识吧,关于 “.co后缀域名在国内是否可以备案?“ 答案是:可以的!.co后缀的域名目前是可以在咱们国内备案的! 其实,就在2018年1月起,新的互联网域名管理办法进行了调整,不再工信部审批的域名后缀都不能在通过备案,新的“中国互联网域名体系”中国别域名仅有.cn域名在内,且可备案。而此次.co域名正式通过工信部批复后…

    2020年9月16日
    0682
  • 如果网站被黑被劫持了怎么办?

    网站遇到被黑,被恶意镜像怎么办?这是站长们最头疼的问题,只是有网站都有遇到过。今天无忧哥具体来讲讲几个安全防护和解决的办法,以供参考。 问:我的网站被同行恶意的镜像网站,被降权了怎么办? 网站被黑被恶意镜像,被植入垃圾代码,现象屡见不鲜。站长管理员应该及时发现分析网站数据和代码。不要等着网站出现了危机,再去进行恢复和处理。带来的后果严重影响排名的周期和SEO…

    2019年3月13日
    01.2K