nginx禁止文件下載防止服務器被惡意掃描

自從網站建立之初到現在網站有了規模后，每天都有無數個機器人來惡意掃描網站備份文件，日志多的讓你覺的可怕，對于這種惡意掃描的方法就需要以彼之道，還施彼身，我們可以通過以下倆種方法來防止服務器被惡意掃描，其中以彼之道，還施彼身的方法，彧繎把它稱為：防暴美學。

方法一

此種方法比較保力，就是以彼之道，還施彼身，利用偽靜態規則進行跳轉下載，比如：掃描根目錄下的 /web.rar，那么就會觸發規則跳轉到大文件下載地址，100G讓他慢慢下載，下個爽，磁盤爆了才開心。

打開網站 Nginx 配置文件，將以下規則加入 server 內，完成配置，規則如下：

server {

    ...
    
    # 專治掃描戶
    rewrite \.rar/?$ http://speedtest.tele2.net/100GB.zip permanent;
    rewrite \.tar/?$ http://speedtest.tele2.net/100GB.zip permanent;
    rewrite \.zip/?$ http://speedtest.tele2.net/100GB.zip permanent;
    rewrite \.sql/?$ http://speedtest.tele2.net/100GB.zip permanent;
    rewrite \.gz/?$ http://speedtest.tele2.net/100GB.zip permanent;
    rewrite \.7z/?$ http://speedtest.tele2.net/100GB.zip permanent;
    
    # 或者使用
    rewrite \.(rar|zip|tar|sql|gz|7z)/?$ http://speedtest.tele2.net/100GB.zip permanent;
    
    ...
  
}

如果你覺得 100GB 響應時間有點長，那么下面的小文件下載地址，任你挑選，包你滿意，地址如下：

新加坡： http://lg-sin.fdcservers.net/10GBtest.zip 
日本： http://lg-tok.fdcservers.net/10GBtest.zip 
香港： http://lg-hkg.fdcservers.net/10GBtest.zip

方法二

此方法最簡單粗暴，直接網站 Nginx 配置文件里面添加以下的規則，針對服務器上經常讓掃描的文件，進行直接禁止訪問，請注意：資源下載網站請慎用，規則如下：

server{

    ...

    # 禁止訪問指定文件
    location ~ \.(zip|rar|sql|tar|gz|7z)$ {

        return 444;

    }

    ...
    
}

上 Nginx 規則就是當有用戶或惡意掃描訪問網站上的 zip|rar|sql|tar|gz|7z 等資源時，直接返回 444 錯誤碼。

最后說明

以上方法各有千秋，但我更加喜歡第一種方法，以彼之道，還施彼身，像我的性格，既然來了，我也不好意思讓人家空手而歸是吧，而方法二之所以沒有選擇，是因為本站畢竟提供下載服務，如果直接全部禁止訪問，那么用戶就沒辦法下載了，所以資源下載網站請慎用方法二。