diff --git a/docker-compose.yml b/docker-compose.yml index b5cd1e6..dc80440 100644 --- a/docker-compose.yml +++ b/docker-compose.yml @@ -40,8 +40,8 @@ services: max-file: "3" volumes: - ollama_data:/root/.ollama - ports: - - '11434:11434' # Открываем для доступа к Ollama + # ports: + # - '11434:11434' # ЗАКРЫТЬ! Доступ только через backend deploy: resources: limits: @@ -79,7 +79,7 @@ services: max-file: "3" depends_on: ollama: - condition: service_started + condition: service_healthy volumes: - ./vector-search:/app - vector_search_data:/app/data @@ -88,6 +88,12 @@ services: - OLLAMA_EMBED_MODEL=${OLLAMA_EMBEDDINGS_MODEL:-mxbai-embed-large:latest} # ports: # - '8001:8001' # Закрываем - используется только backend'ом + healthcheck: + test: ["CMD", "python", "-c", "import requests; requests.get('http://localhost:8001/health')"] + interval: 30s + timeout: 10s + retries: 5 + start_period: 60s backend: build: context: ./backend @@ -103,16 +109,15 @@ services: postgres: condition: service_healthy ollama: - condition: service_started + condition: service_healthy vector-search: - condition: service_started + condition: service_healthy volumes: - ./backend:/app - ./backend/uploads:/app/uploads - backend_node_modules:/app/node_modules - ./frontend/dist:/app/frontend_dist:ro - ./ssl:/app/ssl:ro - - /var/run/docker.sock:/var/run/docker.sock environment: - NODE_ENV=${NODE_ENV:-development} - PORT=${PORT:-8000} @@ -133,6 +138,12 @@ services: - '8000:8000' extra_hosts: - host.docker.internal:host-gateway + healthcheck: + test: ["CMD", "node", "-e", "require('http').get('http://localhost:8000/api/health', (res) => { process.exit(res.statusCode === 200 ? 0 : 1) })"] + interval: 30s + timeout: 10s + retries: 5 + start_period: 60s frontend: build: context: ./frontend @@ -145,7 +156,8 @@ services: max-size: "10m" max-file: "3" depends_on: - - backend + backend: + condition: service_healthy volumes: - ./frontend:/app - frontend_node_modules:/app/node_modules @@ -185,26 +197,7 @@ services: depends_on: - backend - # Мониторинг безопасности - security-monitor: - image: alpine:latest - container_name: dapp-security-monitor - restart: unless-stopped - volumes: - - ./security-monitor.sh:/app/security-monitor.sh:ro - - ./start-security-monitor.sh:/app/start-security-monitor.sh:ro - - /var/run/docker.sock:/var/run/docker.sock:ro - - security_monitor_data:/var/log/security-monitor - depends_on: - - frontend-nginx - working_dir: /app - command: > - sh -c " - apk add --no-cache docker-cli bash curl jq && - cp security-monitor.sh /tmp/security-monitor.sh && - chmod +x /tmp/security-monitor.sh && - exec bash /tmp/security-monitor.sh - " + # Автоматический бэкап базы данных backup-service: @@ -234,7 +227,6 @@ services: volumes: postgres_data: ollama_data: - security_monitor_data: vector_search_data: frontend_node_modules: backend_node_modules: \ No newline at end of file diff --git a/frontend/nginx-optimized.conf b/frontend/nginx-optimized.conf deleted file mode 100644 index a03417e..0000000 --- a/frontend/nginx-optimized.conf +++ /dev/null @@ -1,140 +0,0 @@ -server { - server_name hb3-accelerator.com www.hb3-accelerator.com; - - # Включаем сжатие - gzip on; - gzip_vary on; - gzip_min_length 1024; - gzip_proxied any; - gzip_comp_level 6; - gzip_types - text/plain - text/css - text/xml - text/javascript - application/javascript - application/json - application/xml+rss - application/atom+xml - image/svg+xml; - - # Кеширование статических файлов - location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ { - proxy_pass http://localhost:9000; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - - expires 1y; - add_header Cache-Control "public, immutable"; - add_header Vary Accept-Encoding; - - # Для WebSocket/HMR: - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - } - - # Запрет на доступ к чувствительным файлам - location ~* /(sendgrid\.env|env\.js|config\.js|aws-exports\.js|firebase-config\.js|firebase\.js|settings\.js|app-settings\.js|config\.json|credentials\.json|secrets\.json)$ { - deny all; - return 403; - } - - # Основные страницы - location / { - proxy_pass http://localhost:9000; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - - # Оптимизация для быстрой загрузки - proxy_buffering on; - proxy_buffer_size 4k; - proxy_buffers 8 4k; - proxy_busy_buffers_size 8k; - - # Таймауты - proxy_connect_timeout 30s; - proxy_send_timeout 30s; - proxy_read_timeout 30s; - - # Для WebSocket/HMR: - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - } - - # Для WebSocket соединений - location /ws { - proxy_pass http://localhost:8000; - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - - # Таймауты для WebSocket - proxy_connect_timeout 30s; - proxy_send_timeout 30s; - proxy_read_timeout 300s; - } - - # API endpoints - location /api/ { - proxy_pass http://localhost:8000/api/; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - - # Оптимизация для API - proxy_buffering on; - proxy_buffer_size 4k; - proxy_buffers 8 4k; - proxy_busy_buffers_size 8k; - - # Таймауты - proxy_connect_timeout 30s; - proxy_send_timeout 30s; - proxy_read_timeout 30s; - - # Для WebSocket: - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - } - - # SSL настройки - listen 443 ssl http2; # Включаем HTTP/2 - ssl_certificate /etc/letsencrypt/live/hb3-accelerator.com/fullchain.pem; - ssl_certificate_key /etc/letsencrypt/live/hb3-accelerator.com/privkey.pem; - include /etc/letsencrypt/options-ssl-nginx.conf; - ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; - - # Дополнительные оптимизации SSL (только если не конфликтуют) - ssl_session_cache shared:SSL:10m; - ssl_stapling on; - ssl_stapling_verify on; - - # Безопасность - add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; - add_header X-Frame-Options DENY always; - add_header X-Content-Type-Options nosniff always; - add_header X-XSS-Protection "1; mode=block" always; -} - -# HTTP to HTTPS redirect -server { - if ($host = hb3-accelerator.com) { - return 301 https://$host$request_uri; - } - - listen 80; - server_name hb3-accelerator.com www.hb3-accelerator.com; - return 404; -} \ No newline at end of file diff --git a/frontend/nginx-simple.conf b/frontend/nginx-simple.conf new file mode 100644 index 0000000..a1094f8 --- /dev/null +++ b/frontend/nginx-simple.conf @@ -0,0 +1,115 @@ +events { + worker_connections 1024; +} + +http { + include /etc/nginx/mime.types; + default_type application/octet-stream; + + # Rate limiting для защиты от DDoS + limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=10r/s; + limit_req_zone $binary_remote_addr zone=api_limit_per_ip:10m rate=5r/s; + + # Блокировка известных сканеров и вредоносных ботов + map $http_user_agent $bad_bot { + default 0; + ~*bot 1; + ~*crawler 1; + ~*spider 1; + ~*scanner 1; + ~*sqlmap 1; + ~*nikto 1; + ~*dirb 1; + ~*gobuster 1; + ~*wfuzz 1; + ~*burp 1; + ~*zap 1; + ~*nessus 1; + ~*openvas 1; + ~*Chrome/[1-4][0-9]\. 1; + ~*Firefox/[1-6][0-9]\. 1; + ~*Safari/[1-9]\. 1; + ~*MSIE\ [1-9]\. 1; + } + + server { + listen 80; + server_name _; + + root /usr/share/nginx/html; + index index.html; + + # Блокировка подозрительных ботов + if ($bad_bot = 1) { + return 403; + } + + # Защита от path traversal + if ($request_uri ~* "(\.\.|\.\./|\.\.\\|\.\.%2f|\.\.%5c)") { + return 404; + } + + # Защита от опасных расширений + location ~* \.(zip|rar|7z|tar|gz|bz2|xz|sql|sqlite|db|bak|backup|old|csv|php|asp|aspx|jsp|cgi|pl|py|sh|bash|exe|bat|cmd|com|pif|scr|vbs|vbe|jar|war|ear|dll|so|dylib|bin|sys|ini|log|tmp|temp|swp|swo|~)$ { + return 404; + } + + # Защита от доступа к чувствительным файлам + location ~* /(\.htaccess|\.htpasswd|\.env|\.git|\.svn|\.DS_Store|Thumbs\.db|web\.config|robots\.txt|sitemap\.xml)$ { + deny all; + return 404; + } + + # Защита от доступа к конфигурационным файлам + location ~* /\.(env|config|ini|conf|cfg|yml|yaml|json|xml|sql|db|bak|backup|old|tmp|temp|log)$ { + deny all; + return 404; + } + + # Основной location + location / { + # Rate limiting для основных страниц + limit_req zone=req_limit_per_ip burst=20 nodelay; + + try_files $uri $uri/ /index.html; + + # Базовые заголовки безопасности + add_header X-Frame-Options "DENY" always; + add_header X-Content-Type-Options "nosniff" always; + add_header X-XSS-Protection "1; mode=block" always; + add_header Referrer-Policy "strict-origin-when-cross-origin" always; + add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:;" always; + add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always; + } + + # Статические файлы + location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ { + expires 1y; + add_header Cache-Control "public, immutable"; + add_header Vary Accept-Encoding; + + # Заголовки безопасности для статических файлов + add_header X-Content-Type-Options "nosniff" always; + } + + # API + location /api/ { + # Rate limiting для API (более строгое) + limit_req zone=api_limit_per_ip burst=10 nodelay; + + proxy_pass http://dapp-backend:8000/api/; + proxy_set_header Host $host; + proxy_set_header X-Real-IP $remote_addr; + proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; + proxy_set_header X-Forwarded-Proto $scheme; + + # Заголовки безопасности для API + add_header X-Frame-Options "DENY" always; + add_header X-Content-Type-Options "nosniff" always; + add_header X-XSS-Protection "1; mode=block" always; + } + + # Скрытие информации о сервере + server_tokens off; + } +} diff --git a/frontend/nginx-tunnel.conf b/frontend/nginx-tunnel.conf deleted file mode 100644 index 7419e14..0000000 --- a/frontend/nginx-tunnel.conf +++ /dev/null @@ -1,186 +0,0 @@ -# Финальная безопасная конфигурация nginx - -# Включаем WAF конфигурацию -include /etc/nginx/conf.d/waf.conf; - -# Ограничение запросов (5 r/s на IP, с небольшим burst) -limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s; - -# Блокировка всех подозрительных поддоменов -server { - listen 80; - server_name _; - - # Возвращаем 444 (Connection Closed Without Response) для всех неизвестных доменов - return 444; - - # Логируем попытки доступа к подозрительным доменам - access_log /var/log/nginx/suspicious_domains.log; -} - -# Основной сервер только для легитимных доменов -server { - listen 80; - server_name hb3-accelerator.com www.hb3-accelerator.com localhost 127.0.0.1; - - root /usr/share/nginx/html; - index index.html; - - # Блокировка по WAF правилам - if ($bad_ip = 1) { - return 403; - } - - if ($bad_bot = 1) { - return 403; - } - - if ($bad_request = 1) { - return 404; - } - - if ($bad_domain = 1) { - return 404; - } - - # Блокировка агрессивных сканеров - if ($http_user_agent ~* (sqlmap|nikto|dirb|gobuster|wfuzz|burp|zap|nessus|openvas)) { - return 403; - } - - # Блокировка только очень старых браузеров (до Chrome 50) - if ($http_user_agent ~* "Chrome/[1-4][0-9]\.") { - return 403; - } - - # Блокировка только очень старых Safari (до версии 500) - if ($http_user_agent ~* "Safari/[1-4][0-9][0-9]\.") { - return 403; - } - - # Дополнительная проверка подозрительных поддоменов - if ($host ~* "^(test|dev|staging|admin|beta|demo|old|new|backup|www2|www3|www4|www5|www6|www7|www8|www9|www10)\.hb3-accelerator\.com$") { - return 404; - } - - # Блокировка сканирования резервных копий и архивов (путьовые паттерны) - if ($request_uri ~* "(backup|backups|bak|old|restore|www\.tar|website\.tar|\.tar\.gz|\.gz|\.sql\.tar|public_html\.tar|sftp-config\.json)") { - return 404; - } - - # Явный запрет на потенциально опасные расширения (чтобы SPA не отдавала index.html со статусом 200) - location ~* \.(zip|rar|7z|tar|gz|bz2|xz|sql|sqlite|db|bak|backup|old|csv)$ { - return 404; - } - - # Блокировка опасных файлов (НЕ блокируем .js, .css) - if ($request_uri ~* "\.(php|asp|aspx|jsp|cgi|pl|py|sh|bash|exe|bat|cmd|com|pif|scr|vbs|vbe|jar|war|ear|dll|so|dylib|bin|sys|ini|log|bak|old|tmp|temp|swp|swo|~)$") { - return 404; - } - - # Блокировка WordPress сканирования - if ($request_uri ~* "(wp-admin|wp-content|wp-includes|wp-config|wp-login|xmlrpc)") { - return 404; - } - - # Блокировка path traversal - if ($request_uri ~* "(\.\.|\.\./|\.\.\\|\.\.%2f|\.\.%5c)") { - return 404; - } - - # Блокировка конкретных атакующих IP - if ($remote_addr = "198.55.98.76") { - return 403; - } - - # Блокировка всех запросов к конфигурационным файлам - if ($request_uri ~* "(config\.js|sftp-config\.json|\.config\.|\.conf\.|\.ini\.|\.env\.|\.json\.)") { - return 404; - } - - # Основной location - location / { - # Лимитируем агрессивные сканеры по IP - limit_req zone=req_limit_per_ip burst=15 nodelay; - - try_files $uri $uri/ /index.html =404; - - # Заголовки безопасности - add_header X-Frame-Options "DENY" always; - add_header X-Content-Type-Options "nosniff" always; - add_header X-XSS-Protection "1; mode=block" always; - add_header Referrer-Policy "strict-origin-when-cross-origin" always; - add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:;" always; - add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always; - } - - # API с дополнительной защитой - location /api/ { - proxy_pass http://dapp-backend:8000/api/; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - - # Таймауты - proxy_connect_timeout 30s; - proxy_send_timeout 30s; - proxy_read_timeout 30s; - - # Заголовки безопасности для API - add_header X-Frame-Options "DENY" always; - add_header X-Content-Type-Options "nosniff" always; - add_header X-XSS-Protection "1; mode=block" always; - } - - # WebSocket с защитой - location /ws { - proxy_pass http://dapp-backend:8000; - proxy_http_version 1.1; - proxy_set_header Upgrade $http_upgrade; - proxy_set_header Connection "upgrade"; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - - # Таймауты для WebSocket - proxy_connect_timeout 30s; - proxy_send_timeout 30s; - proxy_read_timeout 300s; - } - - # Статические файлы с кешированием и защитой - location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ { - expires 1y; - add_header Cache-Control "public, immutable"; - add_header Vary Accept-Encoding; - - # Дополнительная защита для статических файлов - add_header X-Content-Type-Options "nosniff" always; - } - - # Общий запрет SPA-фоллбэка для любых запросов с расширением, кроме /api и /ws - location ~* ^/(?!api/|ws).+\.[^/]+$ { - try_files $uri =404; - } - - # Запрет доступа к чувствительным файлам - location ~* /(\.\htaccess|\.\htpasswd|\.env|\.git|\.svn|\.DS_Store|Thumbs\.db|web\.config|robots\.txt|sitemap\.xml)$ { - deny all; - return 404; - } - - # Строгая защита от доступа к конфигурационным файлам - location ~* /\.(env|config|ini|conf|cfg|yml|yaml|json|xml|sql|db|bak|backup|old|tmp|temp|log)$ { - deny all; - return 404; - } - - # Скрытие информации о сервере - server_tokens off; - - # Логирование ошибок - error_log /var/log/nginx/error.log warn; - access_log /var/log/nginx/access.log combined; -} \ No newline at end of file diff --git a/frontend/nginx-waf.conf b/frontend/nginx-waf.conf deleted file mode 100644 index c30ba62..0000000 --- a/frontend/nginx-waf.conf +++ /dev/null @@ -1,73 +0,0 @@ -# Дополнительные правила WAF для защиты от атак - -# Блокировка известных сканеров и инструментов -map $http_user_agent $bad_bot { - default 0; - ~*bot 1; - ~*crawler 1; - ~*spider 1; - ~*scanner 1; - ~*nmap 1; - ~*sqlmap 1; - ~*nikto 1; - ~*dirb 1; - ~*gobuster 1; - ~*wfuzz 1; - ~*burp 1; - ~*zap 1; - ~*w3af 1; - ~*nessus 1; - ~*openvas 1; - ~*acunetix 1; - ~*netsparker 1; - ~*appscan 1; - ~*webinspect 1; - ~*paros 1; - ~*arachni 1; - ~*skipfish 1; - ~*wpscan 1; - ~*joomscan 1; - ~*drupalscan 1; - ~*magento 1; - ~*wordpress 1; - ~*Chrome/[1-7][0-9]\. 1; - ~*Firefox/[1-6][0-9]\. 1; - ~*Safari/[1-9]\. 1; - ~*MSIE\ [1-9]\. 1; - ~*Trident/[1-6]\. 1; -} - -# Блокировка подозрительных IP (добавляем атакующий IP) -geo $bad_ip { - default 0; - 198.55.98.76 1; - # Дополнительные IP будут добавляться автоматически мониторингом -} - -# Блокировка подозрительных запросов -map $request_uri $bad_request { - default 0; - ~*\.(php|asp|aspx|jsp|cgi|pl|py|sh|bash|exe|bat|cmd|com|pif|scr|vbs|vbe|jar|war|ear|dll|so|dylib|bin|sys|ini|log|bak|old|tmp|temp|swp|swo|~)$ 1; - ~*(wp-admin|wp-content|wp-includes|wp-config|wp-login|xmlrpc|admin|administrator|login|panel|dashboard) 1; - ~*(phpmyadmin|mysql|database|db|sql|oracle|postgres|mongo) 1; - ~*(shell|cmd|exec|system|eval|base64|decode|encode) 1; - ~*(union|select|insert|update|delete|drop|create|alter|grant|revoke) 1; - ~*(script|javascript|vbscript|onload|onerror|onclick) 1; - ~*(../|..\\|\.\.|\.\./) 1; - ~*(config|setup|install|upgrade|backup|restore) 1; - ~*\.(env|config|ini|conf|cfg|yml|yaml|json|xml|sql|db|bak|backup|old|tmp|temp|log)$ 1; - ~*(\.\.|\.\./|\.\.\\|\.\.%2f|\.\.%5c) 1; -} - -# Блокировка подозрительных доменов -map $host $bad_domain { - default 0; - ~*^(test|dev|staging|admin|beta|demo|old|new|backup|www2|www3|www4|www5|www6|www7|www8|www9|www10)\.hb3-accelerator\.com$ 1; - ~*akamai-inputs- 1; - ~*gosipgambar 1; - ~*gitlab\.cloud 1; - ~*autodiscover\.home 1; - ~*akamai-san 1; - ~*bestcupcakerecipes 1; - ~*usmc1 1; -} \ No newline at end of file diff --git a/frontend/nginx.Dockerfile b/frontend/nginx.Dockerfile index 99ec9c3..206d4a3 100644 --- a/frontend/nginx.Dockerfile +++ b/frontend/nginx.Dockerfile @@ -1,4 +1,3 @@ FROM nginx:alpine COPY dist/ /usr/share/nginx/html/ -COPY nginx-tunnel.conf /etc/nginx/conf.d/default.conf -COPY nginx-waf.conf /etc/nginx/conf.d/waf.conf \ No newline at end of file +COPY nginx-simple.conf /etc/nginx/nginx.conf \ No newline at end of file diff --git a/frontend/nginx.conf b/frontend/nginx.conf deleted file mode 100644 index d7235b4..0000000 --- a/frontend/nginx.conf +++ /dev/null @@ -1,54 +0,0 @@ -events { - worker_connections 1024; -} - -http { - include /etc/nginx/mime.types; - default_type application/octet-stream; - - # Основной сервер для легитимных доменов - server { - listen 80; - server_name hb3-accelerator.com www.hb3-accelerator.com localhost; - - # API прокси (точное совпадение для /api/) - location /api/ { - proxy_pass http://dapp-backend:8000; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - proxy_set_header X-Forwarded-Host $host; - proxy_set_header X-Forwarded-Port $server_port; - - # Передача cookies и сессии - proxy_pass_request_headers on; - proxy_pass_request_body on; - proxy_set_header Cookie $http_cookie; - proxy_set_header Authorization $http_authorization; - } - - # Проксирование к development серверу frontend - location / { - proxy_pass http://dapp-frontend:5173; - proxy_set_header Host $host; - proxy_set_header X-Real-IP $remote_addr; - proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; - proxy_set_header X-Forwarded-Proto $scheme; - proxy_set_header X-Forwarded-Host $host; - proxy_set_header X-Forwarded-Port $server_port; - } - } - - # Сервер по умолчанию для блокировки подозрительных доменов - server { - listen 80 default_server; - server_name _; - - # Возвращаем 444 (Connection Closed Without Response) - return 444; - - # Логируем попытки доступа к подозрительным доменам - access_log /var/log/nginx/suspicious_domains.log; - } -} \ No newline at end of file diff --git a/security-monitor.sh b/security-monitor.sh deleted file mode 100755 index f1097f7..0000000 --- a/security-monitor.sh +++ /dev/null @@ -1,204 +0,0 @@ -#!/bin/bash - -# Copyright (c) 2024-2025 Тарабанов Александр Викторович -# All rights reserved. -# -# This software is proprietary and confidential. -# Unauthorized copying, modification, or distribution is prohibited. -# -# For licensing inquiries: info@hb3-accelerator.com -# Website: https://hb3-accelerator.com -# GitHub: https://github.com/VC-HB3-Accelerator - -# Скрипт мониторинга безопасности для DLE -# Автоматически блокирует подозрительные IP адреса и домены - -LOG_FILE="/var/log/nginx/access.log" -SUSPICIOUS_LOG_FILE="/var/log/nginx/suspicious_domains.log" -BLOCKED_IPS_FILE="/var/log/security-monitor/blocked_ips.txt" -SUSPICIOUS_DOMAINS_FILE="/var/log/security-monitor/suspicious_domains.txt" -NGINX_CONTAINER="dapp-frontend-nginx" -WAF_CONF_FILE="/etc/nginx/conf.d/waf.conf" - -# Создаем файлы для хранения данных -touch "$BLOCKED_IPS_FILE" -touch "$SUSPICIOUS_DOMAINS_FILE" - -echo "🔒 Запуск мониторинга безопасности DLE..." -echo "📊 Анализ логов nginx контейнера: $NGINX_CONTAINER" -echo "🚫 Заблокированные IP: $BLOCKED_IPS_FILE" -echo "🌐 Подозрительные домены: $SUSPICIOUS_DOMAINS_FILE" - -# Список подозрительных доменов -SUSPICIOUS_DOMAINS=( - "akamai-inputs-" - "gosipgambar" - "gitlab.cloud" - "autodiscover.home" - "akamai-san" - "akamai-inputs-cleanaway" - "akamai-inputs-hgmccarterenglish" - "akamai-inputs-nbpdnj" - "akamai-inputs-rvc" - "akamai-inputs-erau" - "akamai-inputs-notion" - "bestcupcakerecipes" - "usmc1" - "test" - "admin" - "dev" - "staging" - "beta" - "demo" - "old" - "new" - "backup" -) - -# Функция для создания WAF конфигурации -create_waf_config() { - echo "🔧 WAF конфигурация уже существует в nginx" - # WAF конфигурация уже создана при сборке контейнера -} - -# Функция для блокировки IP -block_ip() { - local ip=$1 - local reason=$2 - - # Исключаем внутренние Docker IP адреса - if [[ "$ip" =~ ^172\.(1[6-9]|2[0-9]|3[0-1])\. ]] || [[ "$ip" =~ ^10\. ]] || [[ "$ip" =~ ^192\.168\. ]]; then - echo "🔒 Пропускаем внутренний IP: $ip (причина: $reason)" - return - fi - - # Проверяем, не заблокирован ли уже IP - if grep -q "^$ip$" "$BLOCKED_IPS_FILE"; then - return - fi - - echo "$ip" >> "$BLOCKED_IPS_FILE" - echo "🚫 Блокируем IP: $ip (причина: $reason)" - - # Логируем в файл для дальнейшей обработки - echo "$(date): $ip - $reason" >> "/var/log/security-monitor/blocked_ips_log.txt" - - echo "✅ IP $ip заблокирован (логируется для manual review)" -} - -# Функция для логирования подозрительных доменов -log_suspicious_domain() { - local domain=$1 - local ip=$2 - - # Проверяем, не логировали ли уже этот домен - if grep -q "^$domain$" "$SUSPICIOUS_DOMAINS_FILE"; then - return - fi - - echo "$domain" >> "$SUSPICIOUS_DOMAINS_FILE" - echo "🌐 Подозрительный домен: $domain (IP: $ip)" - - # Блокируем IP, который обращается к подозрительному домену - if [ -n "$ip" ]; then - block_ip "$ip" "Обращение к подозрительному домену: $domain" - fi -} - -# Функция для анализа Docker логов nginx -analyze_docker_logs() { - echo "🔍 Анализ Docker логов nginx на предмет атак..." - - # Анализируем логи nginx контейнера (последние записи + следящий режим) - docker logs --tail 10 --follow "$NGINX_CONTAINER" 2>/dev/null | while read line; do - # Ищем HTTP запросы в логах (формат nginx access log) - if echo "$line" | grep -qE '"(GET|POST|HEAD|PUT|DELETE|OPTIONS)'; then - # Извлекаем IP адрес (первое поле в логе) - ip=$(echo "$line" | awk '{print $1}') - - # Извлекаем метод и URI из кавычек "GET /path HTTP/1.1" - request_line=$(echo "$line" | grep -oE '"[^"]*"' | head -1 | sed 's/"//g') - method=$(echo "$request_line" | awk '{print $1}') - uri=$(echo "$request_line" | awk '{print $2}') - - # Извлекаем User-Agent (последняя строка в кавычках) - user_agent=$(echo "$line" | grep -oE '"[^"]*"' | tail -1 | sed 's/"//g') - - # Домен пока оставляем пустым (можно добавить парсинг из логов при необходимости) - domain="" - - if [ -n "$ip" ]; then - echo "🔍 Анализируем запрос: $ip -> $domain -> $uri" - - # Проверяем на подозрительные запросы - if echo "$uri" | grep -q "\.env\|\.config\|\.ini\|\.sql\|\.bak\|\.log"; then - block_ip "$ip" "Попытка доступа к чувствительным файлам: $uri" - fi - - # Проверяем на сканирование резервных копий и архивов - if echo "$uri" | grep -q "backup\|backups\|bak\|old\|restore\|\.tar\|\.gz\|sftp-config"; then - block_ip "$ip" "Сканирование резервных копий и конфигурационных файлов: $uri" - fi - - # Проверяем на подозрительные поддомены - if echo "$domain" | grep -q "bestcupcakerecipes\|usmc1\|test\|admin\|dev\|staging"; then - block_ip "$ip" "Попытка доступа к несуществующим поддоменам: $domain" - fi - - # Проверяем на старые User-Agent - if echo "$user_agent" | grep -q "Chrome/[1-7][0-9]\."; then - block_ip "$ip" "Подозрительный User-Agent (старый Chrome): $user_agent" - fi - - if echo "$user_agent" | grep -q "Safari/[1-5][0-9][0-9]\."; then - block_ip "$ip" "Подозрительный User-Agent (старый Safari): $user_agent" - fi - - # Проверяем на известные сканеры - if echo "$user_agent" | grep -qi "bot\|crawler\|spider\|scanner\|nmap\|sqlmap"; then - block_ip "$ip" "Известный сканер/бот: $user_agent" - fi - - # Проверяем на подозрительные домены - for suspicious in "${SUSPICIOUS_DOMAINS[@]}"; do - if echo "$domain" | grep -qi "$suspicious"; then - log_suspicious_domain "$domain" "$ip" - break - fi - done - - # Проверяем на множественные запросы (DDoS) - request_count=$(docker logs "$NGINX_CONTAINER" | grep "$ip" | wc -l) - if [ "$request_count" -gt 100 ]; then - block_ip "$ip" "Подозрение на DDoS ($request_count запросов)" - fi - fi - fi - done -} - -# Функция для показа статистики -show_stats() { - echo "📈 Статистика безопасности:" - echo "Заблокированных IP: $(wc -l < "$BLOCKED_IPS_FILE")" - echo "Подозрительных доменов: $(wc -l < "$SUSPICIOUS_DOMAINS_FILE")" - echo "" - echo "Последние заблокированные IP:" - tail -5 "$BLOCKED_IPS_FILE" 2>/dev/null || echo "Нет заблокированных IP" - echo "" - echo "Последние подозрительные домены:" - tail -5 "$SUSPICIOUS_DOMAINS_FILE" 2>/dev/null || echo "Нет подозрительных доменов" -} - -# Инициализация WAF конфигурации -echo "🔧 Инициализация WAF конфигурации..." -create_waf_config - -# Основной цикл -echo "🔄 Начинаем мониторинг безопасности... $(date)" - -# Показываем начальную статистику -show_stats - -# Запускаем анализ логов (блокирующий режим - будет работать постоянно) -analyze_docker_logs \ No newline at end of file diff --git a/start-security-monitor.sh b/start-security-monitor.sh deleted file mode 100755 index 64d83b6..0000000 --- a/start-security-monitor.sh +++ /dev/null @@ -1,34 +0,0 @@ -#!/bin/bash - -# Copyright (c) 2024-2025 Тарабанов Александр Викторович -# All rights reserved. -# -# This software is proprietary and confidential. -# Unauthorized copying, modification, or distribution is prohibited. -# -# For licensing inquiries: info@hb3-accelerator.com -# Website: https://hb3-accelerator.com -# GitHub: https://github.com/VC-HB3-Accelerator - -# Простой скрипт для запуска мониторинга безопасности -# Использование: ./start-security-monitor.sh - -echo "🔒 Запуск мониторинга безопасности DLE..." - -# Останавливаем старые процессы мониторинга -echo "🛑 Остановка старых процессов мониторинга..." -pkill -f 'security-monitor.sh' 2>/dev/null || true -sleep 2 - -# Запускаем мониторинг в фоне -nohup ./security-monitor.sh > security-monitor.log 2>&1 & - -echo "✅ Мониторинг запущен в фоне" -echo "PID: $!" -echo "" -echo "Команды управления:" -echo " Остановить: pkill -f 'security-monitor.sh'" -echo " Статус: ps aux | grep security-monitor" -echo " Логи: tail -f security-monitor.log" -echo " Подозрительные домены: tail -f /var/log/security-monitor/suspicious_domains.txt" -echo " Заблокированные IP: tail -f /var/log/security-monitor/blocked_ips.txt" \ No newline at end of file