网站被镜像反向代理应该如何解决?

这次,小编来给大家说说关于一种黑技术 ”反代“,如果被反向代理了,那就是说整个站几乎都被镜像代理了,这对自己的站危害甚大啊。那么,网站被镜像反向代理应该如何解决呢?接下来,小编就给大家说说吧。

网站被镜像反向代理应该如何解决
网站被镜像反向代理应该如何解决

如果某天查看Nginx日志发现自己的网站被设置301 跳转了,想想只是跳转,没实际危害就算了。但是,如果站长你查询日志,发现居然变本加厉反向代理了整个站,再查发现居然还开了好多个域名反代,那得自己行动,保护自己的网站了。

一、恶意反代的危害

  • 首先肯定会占用服务器资源,网站打开速度受影响。
  • 其次,别人通过代理盗用你的网站数据,对用户与不是那么智能的搜索引擎而言,相当于建了一个与你一模一样的站点,那么很有可能你的站点会进搜索引擎沙箱,甚至被降权。
  • 如果被恶意代理的页面,还挂有你的联盟广告(比如 Adsense),这就十分危险了,如果有人点击了上面的广告,很容易被 Adsense 封号。
  • 还有很多危害,可以自行脑补 ……

二、如何屏蔽反代

屏蔽方法很多,可以在系统层面利用防火墙屏蔽,可以在服务上屏蔽,也可以在内容上屏蔽,没有必要都配置一遍,选择合适的即可。

1、防火墙配置

如果代理服务器是直接连接我们服务器,可以在防火墙上禁止该 IP 连接,以 CentOS 7 为例:

[root@UN ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address="1.1.1.1" drop' --permanent
[root@UN ~]# firewall-cmd --reload

如果代理服务器更换了 IP,我们就要再配置防火墙,而且若代理服务器使用了 CDN 来反代,那么这种方法将不适用,除非你确定自己也不会用 CDN。

2、Nginx 配置

在站点配置文件中新增一段:

server {
......
       if ($host !~ vircloud.net) {
           return 444;
       }
......
}

代理服务器访问直接不回应,若要跳转到自己的网站,可以把 444 改成网站链接,此方法最简单彻底。

3、.htaccess 屏蔽

.htaccess

RewriteEngine On
RewriteBase /
php_value auto_append_file proxy.php
Sh
Copy

proxy.php

<?php
$f = getenv("HTTP_X_FORWARDED_FOR");
$server = getenv("HTTP_HOST");
if (($f!="")&&($server!="vircloud.net")&&($server!="www.vircloud.net")){
    echo '本服务器禁止反向代理!';
}
?>

4、JavaScript 屏蔽

直接在网页中添加:

<script type="text/javascript">  
if (document.domain != 'vircloud.net' && document.domain != 'www.vircloud.net'){  
window.location.href='https://www.vircloud.net/';  
}  
</script>  

如果是反代者使用了 iframe,那么应该再加一段判断:

<script type="text/javascript">
  if (top.location != self.location) {
    top.location=self.location;
}
</script>

或者

<script type="text/javascript">
var url=window.location.href;
if(window!=parent)
parent.navigate(url);
</script>

厉害的反代者会直接把 js 替换掉,所以这种方法不能完美屏蔽。

5、PHP 屏蔽

$proxy_rs = $this -> proxy_filter();
if( $proxy_rs != 'vircloud.net' || $proxy_rs != 'www.vircloud.net' )
{
    echo '非法反向代理访问';
    header('Location: http://www.vircloud.net/');
    exit;
}
public function proxy_filter()
{
    $svrUrl = 'http://' . $_SERVER['SERVER_NAME'].$_SERVER["PHP_SELF"];
    if (!empty($_SERVER["QUERY_STRING"]))
    {
        $svrUrl .= "?".$_SERVER["QUERY_STRING"];
    }
    return $svrUrl;
    return $_SERVER['SERVER_NAME'];
}

6、refer 屏蔽

此方法针对 301 跳转,Nginx 下配置:

server{
.....
if ($http_referer ~* (.*\.abc.com|abc.com)){
  return 444;
}
......
}

原创文章,作者:SONIC SEO,如若转载,请注明出处:https://www.seo388.com/fandai/

(3)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2019年11月26日 18:36
下一篇 2019年11月27日 00:21

相关推荐

  • 你知道加密通讯工具的排名吗?Telegram电报群为什么排第一?

    现今社会,进入21世纪大互联网时代,随着科技的不断发展与互联网的大跃进,随着智能手机的普及,出现了大批常用的聊天软件,互联网通讯无处不在,与人们的生活已经不可分割、息息相关了。比如说:QQ、微信,以及LINE、Facebook Messenger、Skype、WhatsApp等,虽然功能差不多,但是安全性却查很多。 第三名:WhatsApp 小编首先要介绍的…

    2020年4月10日
    03.9K
  • DNS污染怎么解决?DNS污染解决尝试方法

    小编相信,有很大一部分的朋友没有听说过dns污染这个词语,其实呢,dns污染就是dns劫持的一种,那么dns污染怎么办呢?下面就来跟您说说简单的dns污染解决方法,希望对大家有帮助。 什么是DNS污染? 按照百度百科的解释就是:某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。某些国家或地区为出于…

    2019年9月28日
    01.7K
  • 备案小助手:《非经营性互联网信息服务备案管理办法》

    这次小编来给大家分享一下《非经营性互联网信息服务备案管理办法》。希望能帮助做非经营性互联网信息服务备案的小伙伴们。 中华人民共和国信息产业部令 第 33 号 《非经营性互联网信息服务备案管理办法》已经2005年1月28日中华人民共和国信息产业部第12次部务会议审议通过,现予发布,自2005年3月20日起施行。 部 长 王旭东二〇〇五年二月八日 非经营性互联网…

    2020年8月23日
    0667
  • 不死域名与已备案域名购买平台推荐

    不死域名与已备案域名购买平台推荐,首选怀米网。怀米网的不死域名一般是链接阿里云服务商的,买了之后感觉不错,小编一买就买了10几个不死域名,不死域名1个10几元到上百元不等,也不贵。备案域名就一般会贵一些,个人已备案域名大概100元左右,企业备案域名一般268元到380元左右吧。不死域名+已备案的域名,两个条件同时存在的也是有的,也是大概268元到380元左右…

    2019年10月1日
    01.6K
  • 关于WordPress任意文件删除漏洞安全指南

    近日,阿里云云盾应急响应中心和腾讯云安全中心监测到知名开源博客软件和内容管理系统 WordPress 被爆存在任意文件删除漏洞,攻击者可利用该漏洞进行任意文件删除攻击。 恶意攻击者可以利用该漏洞删除WordPress建站配置文件wp-config.php,从而导致界面进入网站安装页面。漏洞原因为WordPress程序 unlink() 函数在处理的用户输入传…

    2019年3月14日
    01.2K
  • 匿名线上聊天室,一次性匿名在线聊天工具

    科技越来越发达了,但是科技进步的同时,大家有注意到私隐的问题嘛?美国多次曝光社交媒体公司频繁泄露用户的私隐,不仅如此,就连手机制造商也有泄露用户私隐的情况出现。那我们平时在互联网聊天的时候有什么需要注意的呢?如何保护我们的个人私隐不被泄露?如何从聊天软件入手去保护我们的私隐?这次小编来介绍一下比较安全的聊天工具吧。   相信大家会遇到这种情况:在某…

    2019年8月17日 网络安全
    04.0K
  • 教你们如何加入电报群Telegram?

    这次,小编教你们如何加入电报群吧。 首先,去下载Telegram的APP,苹果app store里面的app是叫做 Telegram Message,一个蓝色小飞机的图标的一个app。然后就下载它到自己手机里。 然后,就可以进去注册了,英文都好简单的,不懂的自己查有道词典吧….. 再然后,就是用手机注册账号(此操作应该是需要科学上网),小编以前尝…

    2020年4月10日
    017.7K
  • 什么是微信不死域名?不死域名的原理是什么?

    今天,小编来给大家科普一下什么是不死域名,不死域名是什么东西呢?有好奇的小伙伴想知道吗?下面,小编就给大家科普一下吧。 什么是微信不死域名?什么是微信的二级不死域名?以及微信不死域名的原理是什么?   微信不死域名这个概念是有人故意创造出来的,它的别名很多包括:《微信二级不死域名》《微信防封域名》《微信防封二级域名》《微信绿标域名》《微信白名单域名…

    2019年8月2日
    11.7K
  • 关于如何修改wordpress后台登录入口

    这次,小编来给大家说说,关于如何修改wordpress后台登录入口。相信很多小伙伴也喜欢用wordpress来建站,简单便利而且优化效果好。虽然不是静态网站,其实伪静态网站排名也不差哦。 需要修改根目录里的wp-login.php和wp-includes文件夹下的general-template.php文件: 1. 首先在网站根目录下找到wp-login.p…

    2020年5月14日
    01.5K
  • 客户端脚本与服务器端脚本有什么区别呢?

    这次,小编来给大家科普一下,关于 “客户端脚本与服务器端脚本有什么区别呢?” 的这个话题。 一般来说,通常情况下,网站通常在三个组件上运行,即服务器,客户端和数据库。要查看网站,个人必须使用浏览器,该浏览器可以称为客户端。客户可以使用不同的设备,例如手机,笔记本电脑,计算机,平板电脑等来查看网站。在这里,客户端脚本正在使用和处理,客户端脚本由浏览器执行。 但…

    2020年9月3日
    0912
  • 浅析Linux ssh暴力破解与攻防实战

    浅析Linux ssh暴力破解与攻防实战: 今天小编的阿里云服务器被人暴力破解,于是就来给大家分享这篇文章了。 对于Linux操作系统来说,一般通过VNC、Teamviewer和SSH等工具来进行远程管理,SSH是 Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议…

    2019年10月20日 网络安全
    01.1K
  • 关于Notepad++无法查找中文的解决办法

    关于一个编程,程序员,站长们必备的工具之一 Notepad++,最近小编发现换了电脑之后,这个工具Ctrl+F5突然就不好使了,搜索不到中文。小编是把“普通”改为“正则表达式”才解决问题的,就可以搜索到中文了。具体的解决方法如下,markdown一下下: Notepad++ 查找中文字符时有问题,找到的结果根本就不是你要查的内容。以下两种临时解决方法任选一种…

    2019年9月28日
    02.0K