ваше сообщение коммита

2025-09-02 19:25:01 +03:00
parent 53bb269b85
commit 3d9e797d7b
9 changed files with 136 additions and 721 deletions
--- a/docker-compose.yml
+++ b/docker-compose.yml
@@ -40,8 +40,8 @@ services:
        max-file: "3"
    volumes:
      - ollama_data:/root/.ollama
-    ports:
+    # ports:
-      - '11434:11434'  # Открываем для доступа к Ollama
+    #   - '11434:11434'  # ЗАКРЫТЬ! Доступ только через backend
    deploy:
      resources:
        limits:
@@ -79,7 +79,7 @@ services:
        max-file: "3"
    depends_on:
      ollama:
-        condition: service_started
+        condition: service_healthy
    volumes:
      - ./vector-search:/app
      - vector_search_data:/app/data
@@ -88,6 +88,12 @@ services:
      - OLLAMA_EMBED_MODEL=${OLLAMA_EMBEDDINGS_MODEL:-mxbai-embed-large:latest}
    # ports:
    #   - '8001:8001'  # Закрываем - используется только backend'ом
    healthcheck:
      test: ["CMD", "python", "-c", "import requests; requests.get('http://localhost:8001/health')"]
      interval: 30s
      timeout: 10s
      retries: 5
      start_period: 60s
  backend:
    build:
      context: ./backend
@@ -103,16 +109,15 @@ services:
      postgres:
        condition: service_healthy
      ollama:
-        condition: service_started
+        condition: service_healthy
      vector-search:
-        condition: service_started
+        condition: service_healthy
    volumes:
      - ./backend:/app
      - ./backend/uploads:/app/uploads
      - backend_node_modules:/app/node_modules
      - ./frontend/dist:/app/frontend_dist:ro
      - ./ssl:/app/ssl:ro
      - /var/run/docker.sock:/var/run/docker.sock
    environment:
      - NODE_ENV=${NODE_ENV:-development}
      - PORT=${PORT:-8000}
@@ -133,6 +138,12 @@ services:
      - '8000:8000'
    extra_hosts:
      - host.docker.internal:host-gateway
    healthcheck:
      test: ["CMD", "node", "-e", "require('http').get('http://localhost:8000/api/health', (res) => { process.exit(res.statusCode === 200 ? 0 : 1) })"]
      interval: 30s
      timeout: 10s
      retries: 5
      start_period: 60s
  frontend:
    build:
      context: ./frontend
@@ -145,7 +156,8 @@ services:
        max-size: "10m"
        max-file: "3"
    depends_on:
-      - backend
+      backend:
        condition: service_healthy
    volumes:
      - ./frontend:/app
      - frontend_node_modules:/app/node_modules
@@ -185,26 +197,7 @@ services:
    depends_on:
      - backend
-  # Мониторинг безопасности
+
  security-monitor:
    image: alpine:latest
    container_name: dapp-security-monitor
    restart: unless-stopped
    volumes:
      - ./security-monitor.sh:/app/security-monitor.sh:ro
      - ./start-security-monitor.sh:/app/start-security-monitor.sh:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - security_monitor_data:/var/log/security-monitor
    depends_on:
      - frontend-nginx
    working_dir: /app
    command: >
      sh -c "
        apk add --no-cache docker-cli bash curl jq &&
        cp security-monitor.sh /tmp/security-monitor.sh &&
        chmod +x /tmp/security-monitor.sh &&
        exec bash /tmp/security-monitor.sh
      "
  # Автоматический бэкап базы данных
  backup-service:
@@ -234,7 +227,6 @@ services:
 volumes:
  postgres_data:
  ollama_data:
  security_monitor_data:
  vector_search_data:
  frontend_node_modules:
  backend_node_modules:
--- a/frontend/nginx-optimized.conf
+++ b/frontend/nginx-optimized.conf
@@ -1,140 +0,0 @@
 server {
    server_name hb3-accelerator.com www.hb3-accelerator.com;
    # Включаем сжатие
    gzip on;
    gzip_vary on;
    gzip_min_length 1024;
    gzip_proxied any;
    gzip_comp_level 6;
    gzip_types
        text/plain
        text/css
        text/xml
        text/javascript
        application/javascript
        application/json
        application/xml+rss
        application/atom+xml
        image/svg+xml;
    # Кеширование статических файлов
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ {
        proxy_pass http://localhost:9000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        expires 1y;
        add_header Cache-Control "public, immutable";
        add_header Vary Accept-Encoding;
        # Для WebSocket/HMR:
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
    # Запрет на доступ к чувствительным файлам
    location ~* /(sendgrid\.env|env\.js|config\.js|aws-exports\.js|firebase-config\.js|firebase\.js|settings\.js|app-settings\.js|config\.json|credentials\.json|secrets\.json)$ {
        deny all;
        return 403;
    }
    # Основные страницы
    location / {
        proxy_pass http://localhost:9000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # Оптимизация для быстрой загрузки
        proxy_buffering on;
        proxy_buffer_size 4k;
        proxy_buffers 8 4k;
        proxy_busy_buffers_size 8k;
        # Таймауты
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
        # Для WebSocket/HMR:
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
    # Для WebSocket соединений
    location /ws {
        proxy_pass http://localhost:8000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # Таймауты для WebSocket
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 300s;
    }
    # API endpoints
    location /api/ {
        proxy_pass http://localhost:8000/api/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # Оптимизация для API
        proxy_buffering on;
        proxy_buffer_size 4k;
        proxy_buffers 8 4k;
        proxy_busy_buffers_size 8k;
        # Таймауты
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
        # Для WebSocket:
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
    # SSL настройки
    listen 443 ssl http2; # Включаем HTTP/2
    ssl_certificate /etc/letsencrypt/live/hb3-accelerator.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hb3-accelerator.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
    # Дополнительные оптимизации SSL (только если не конфликтуют)
    ssl_session_cache shared:SSL:10m;
    ssl_stapling on;
    ssl_stapling_verify on;
    # Безопасность
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Frame-Options DENY always;
    add_header X-Content-Type-Options nosniff always;
    add_header X-XSS-Protection "1; mode=block" always;
 }
 # HTTP to HTTPS redirect
 server {
    if ($host = hb3-accelerator.com) {
        return 301 https://$host$request_uri;
    }
    listen 80;
    server_name hb3-accelerator.com www.hb3-accelerator.com;
    return 404;
 } 
--- a/frontend/nginx-simple.conf
+++ b/frontend/nginx-simple.conf
@@ -0,0 +1,115 @@
 events {
    worker_connections 1024;
 }
 http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    # Rate limiting для защиты от DDoS
    limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=10r/s;
    limit_req_zone $binary_remote_addr zone=api_limit_per_ip:10m rate=5r/s;
    # Блокировка известных сканеров и вредоносных ботов
    map $http_user_agent $bad_bot {
        default 0;
        ~*bot 1;
        ~*crawler 1;
        ~*spider 1;
        ~*scanner 1;
        ~*sqlmap 1;
        ~*nikto 1;
        ~*dirb 1;
        ~*gobuster 1;
        ~*wfuzz 1;
        ~*burp 1;
        ~*zap 1;
        ~*nessus 1;
        ~*openvas 1;
        ~*Chrome/[1-4][0-9]\. 1;
        ~*Firefox/[1-6][0-9]\. 1;
        ~*Safari/[1-9]\. 1;
        ~*MSIE\ [1-9]\. 1;
    }
    server {
        listen 80;
        server_name _;
        root /usr/share/nginx/html;
        index index.html;
        # Блокировка подозрительных ботов
        if ($bad_bot = 1) {
            return 403;
        }
        # Защита от path traversal
        if ($request_uri ~* "(\.\.|\.\./|\.\.\\|\.\.%2f|\.\.%5c)") {
            return 404;
        }
        # Защита от опасных расширений
        location ~* \.(zip|rar|7z|tar|gz|bz2|xz|sql|sqlite|db|bak|backup|old|csv|php|asp|aspx|jsp|cgi|pl|py|sh|bash|exe|bat|cmd|com|pif|scr|vbs|vbe|jar|war|ear|dll|so|dylib|bin|sys|ini|log|tmp|temp|swp|swo|~)$ {
            return 404;
        }
        # Защита от доступа к чувствительным файлам
        location ~* /(\.htaccess|\.htpasswd|\.env|\.git|\.svn|\.DS_Store|Thumbs\.db|web\.config|robots\.txt|sitemap\.xml)$ {
            deny all;
            return 404;
        }
        # Защита от доступа к конфигурационным файлам
        location ~* /\.(env|config|ini|conf|cfg|yml|yaml|json|xml|sql|db|bak|backup|old|tmp|temp|log)$ {
            deny all;
            return 404;
        }
        # Основной location
        location / {
            # Rate limiting для основных страниц
            limit_req zone=req_limit_per_ip burst=20 nodelay;
            try_files $uri $uri/ /index.html;
            # Базовые заголовки безопасности
            add_header X-Frame-Options "DENY" always;
            add_header X-Content-Type-Options "nosniff" always;
            add_header X-XSS-Protection "1; mode=block" always;
            add_header Referrer-Policy "strict-origin-when-cross-origin" always;
            add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:;" always;
            add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
        }
        # Статические файлы
        location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ {
            expires 1y;
            add_header Cache-Control "public, immutable";
            add_header Vary Accept-Encoding;
            # Заголовки безопасности для статических файлов
            add_header X-Content-Type-Options "nosniff" always;
        }
        # API
        location /api/ {
            # Rate limiting для API (более строгое)
            limit_req zone=api_limit_per_ip burst=10 nodelay;
            proxy_pass http://dapp-backend:8000/api/;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            # Заголовки безопасности для API
            add_header X-Frame-Options "DENY" always;
            add_header X-Content-Type-Options "nosniff" always;
            add_header X-XSS-Protection "1; mode=block" always;
        }
        # Скрытие информации о сервере
        server_tokens off;
    }
 }
--- a/frontend/nginx-tunnel.conf
+++ b/frontend/nginx-tunnel.conf
@@ -1,186 +0,0 @@
 # Финальная безопасная конфигурация nginx
 # Включаем WAF конфигурацию
 include /etc/nginx/conf.d/waf.conf;
 # Ограничение запросов (5 r/s на IP, с небольшим burst)
 limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s;
 # Блокировка всех подозрительных поддоменов
 server {
    listen 80;
    server_name _;
    # Возвращаем 444 (Connection Closed Without Response) для всех неизвестных доменов
    return 444;
    # Логируем попытки доступа к подозрительным доменам
    access_log /var/log/nginx/suspicious_domains.log;
 }
 # Основной сервер только для легитимных доменов
 server {
    listen 80;
    server_name hb3-accelerator.com www.hb3-accelerator.com localhost 127.0.0.1;
    root /usr/share/nginx/html;
    index index.html;
    # Блокировка по WAF правилам
    if ($bad_ip = 1) {
        return 403;
    }
    if ($bad_bot = 1) {
        return 403;
    }
    if ($bad_request = 1) {
        return 404;
    }
    if ($bad_domain = 1) {
        return 404;
    }
    # Блокировка агрессивных сканеров
    if ($http_user_agent ~* (sqlmap|nikto|dirb|gobuster|wfuzz|burp|zap|nessus|openvas)) {
        return 403;
    }
    # Блокировка только очень старых браузеров (до Chrome 50)
    if ($http_user_agent ~* "Chrome/[1-4][0-9]\.") {
        return 403;
    }
    # Блокировка только очень старых Safari (до версии 500)
    if ($http_user_agent ~* "Safari/[1-4][0-9][0-9]\.") {
        return 403;
    }
    # Дополнительная проверка подозрительных поддоменов
    if ($host ~* "^(test|dev|staging|admin|beta|demo|old|new|backup|www2|www3|www4|www5|www6|www7|www8|www9|www10)\.hb3-accelerator\.com$") {
        return 404;
    }
    # Блокировка сканирования резервных копий и архивов (путьовые паттерны)
    if ($request_uri ~* "(backup|backups|bak|old|restore|www\.tar|website\.tar|\.tar\.gz|\.gz|\.sql\.tar|public_html\.tar|sftp-config\.json)") {
        return 404;
    }
    # Явный запрет на потенциально опасные расширения (чтобы SPA не отдавала index.html со статусом 200)
    location ~* \.(zip|rar|7z|tar|gz|bz2|xz|sql|sqlite|db|bak|backup|old|csv)$ {
        return 404;
    }
    # Блокировка опасных файлов (НЕ блокируем .js, .css)
    if ($request_uri ~* "\.(php|asp|aspx|jsp|cgi|pl|py|sh|bash|exe|bat|cmd|com|pif|scr|vbs|vbe|jar|war|ear|dll|so|dylib|bin|sys|ini|log|bak|old|tmp|temp|swp|swo|~)$") {
        return 404;
    }
    # Блокировка WordPress сканирования
    if ($request_uri ~* "(wp-admin|wp-content|wp-includes|wp-config|wp-login|xmlrpc)") {
        return 404;
    }
    # Блокировка path traversal
    if ($request_uri ~* "(\.\.|\.\./|\.\.\\|\.\.%2f|\.\.%5c)") {
        return 404;
    }
    # Блокировка конкретных атакующих IP
    if ($remote_addr = "198.55.98.76") {
        return 403;
    }
    # Блокировка всех запросов к конфигурационным файлам
    if ($request_uri ~* "(config\.js|sftp-config\.json|\.config\.|\.conf\.|\.ini\.|\.env\.|\.json\.)") {
        return 404;
    }
    # Основной location
    location / {
        # Лимитируем агрессивные сканеры по IP
        limit_req zone=req_limit_per_ip burst=15 nodelay;
        try_files $uri $uri/ /index.html =404;
        # Заголовки безопасности
        add_header X-Frame-Options "DENY" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header X-XSS-Protection "1; mode=block" always;
        add_header Referrer-Policy "strict-origin-when-cross-origin" always;
        add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:;" always;
        add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
    }
    # API с дополнительной защитой
    location /api/ {
        proxy_pass http://dapp-backend:8000/api/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # Таймауты
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
        # Заголовки безопасности для API
        add_header X-Frame-Options "DENY" always;
        add_header X-Content-Type-Options "nosniff" always;
        add_header X-XSS-Protection "1; mode=block" always;
    }
    # WebSocket с защитой
    location /ws {
        proxy_pass http://dapp-backend:8000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        # Таймауты для WebSocket
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 300s;
    }
    # Статические файлы с кешированием и защитой
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ {
        expires 1y;
        add_header Cache-Control "public, immutable";
        add_header Vary Accept-Encoding;
        # Дополнительная защита для статических файлов
        add_header X-Content-Type-Options "nosniff" always;
    }
    # Общий запрет SPA-фоллбэка для любых запросов с расширением, кроме /api и /ws
    location ~* ^/(?!api/|ws).+\.[^/]+$ {
        try_files $uri =404;
    }
    # Запрет доступа к чувствительным файлам
    location ~* /(\.\htaccess|\.\htpasswd|\.env|\.git|\.svn|\.DS_Store|Thumbs\.db|web\.config|robots\.txt|sitemap\.xml)$ {
        deny all;
        return 404;
    }
    # Строгая защита от доступа к конфигурационным файлам
    location ~* /\.(env|config|ini|conf|cfg|yml|yaml|json|xml|sql|db|bak|backup|old|tmp|temp|log)$ {
        deny all;
        return 404;
    }
    # Скрытие информации о сервере
    server_tokens off;
    # Логирование ошибок
    error_log /var/log/nginx/error.log warn;
    access_log /var/log/nginx/access.log combined;
 } 
--- a/frontend/nginx-waf.conf
+++ b/frontend/nginx-waf.conf
@@ -1,73 +0,0 @@
 # Дополнительные правила WAF для защиты от атак
 # Блокировка известных сканеров и инструментов
 map $http_user_agent $bad_bot {
    default 0;
    ~*bot 1;
    ~*crawler 1;
    ~*spider 1;
    ~*scanner 1;
    ~*nmap 1;
    ~*sqlmap 1;
    ~*nikto 1;
    ~*dirb 1;
    ~*gobuster 1;
    ~*wfuzz 1;
    ~*burp 1;
    ~*zap 1;
    ~*w3af 1;
    ~*nessus 1;
    ~*openvas 1;
    ~*acunetix 1;
    ~*netsparker 1;
    ~*appscan 1;
    ~*webinspect 1;
    ~*paros 1;
    ~*arachni 1;
    ~*skipfish 1;
    ~*wpscan 1;
    ~*joomscan 1;
    ~*drupalscan 1;
    ~*magento 1;
    ~*wordpress 1;
    ~*Chrome/[1-7][0-9]\. 1;
    ~*Firefox/[1-6][0-9]\. 1;
    ~*Safari/[1-9]\. 1;
    ~*MSIE\ [1-9]\. 1;
    ~*Trident/[1-6]\. 1;
 }
 # Блокировка подозрительных IP (добавляем атакующий IP)
 geo $bad_ip {
    default 0;
    198.55.98.76 1;
    # Дополнительные IP будут добавляться автоматически мониторингом
 }
 # Блокировка подозрительных запросов
 map $request_uri $bad_request {
    default 0;
    ~*\.(php|asp|aspx|jsp|cgi|pl|py|sh|bash|exe|bat|cmd|com|pif|scr|vbs|vbe|jar|war|ear|dll|so|dylib|bin|sys|ini|log|bak|old|tmp|temp|swp|swo|~)$ 1;
    ~*(wp-admin|wp-content|wp-includes|wp-config|wp-login|xmlrpc|admin|administrator|login|panel|dashboard) 1;
    ~*(phpmyadmin|mysql|database|db|sql|oracle|postgres|mongo) 1;
    ~*(shell|cmd|exec|system|eval|base64|decode|encode) 1;
    ~*(union|select|insert|update|delete|drop|create|alter|grant|revoke) 1;
    ~*(script|javascript|vbscript|onload|onerror|onclick) 1;
    ~*(../|..\\|\.\.|\.\./) 1;
    ~*(config|setup|install|upgrade|backup|restore) 1;
    ~*\.(env|config|ini|conf|cfg|yml|yaml|json|xml|sql|db|bak|backup|old|tmp|temp|log)$ 1;
    ~*(\.\.|\.\./|\.\.\\|\.\.%2f|\.\.%5c) 1;
 }
 # Блокировка подозрительных доменов
 map $host $bad_domain {
    default 0;
    ~*^(test|dev|staging|admin|beta|demo|old|new|backup|www2|www3|www4|www5|www6|www7|www8|www9|www10)\.hb3-accelerator\.com$ 1;
    ~*akamai-inputs- 1;
    ~*gosipgambar 1;
    ~*gitlab\.cloud 1;
    ~*autodiscover\.home 1;
    ~*akamai-san 1;
    ~*bestcupcakerecipes 1;
    ~*usmc1 1;
 } 
--- a/frontend/nginx.Dockerfile
+++ b/frontend/nginx.Dockerfile
@@ -1,4 +1,3 @@
 FROM nginx:alpine
 COPY dist/ /usr/share/nginx/html/
-COPY nginx-tunnel.conf /etc/nginx/conf.d/default.conf
+COPY nginx-simple.conf /etc/nginx/nginx.conf
 COPY nginx-waf.conf /etc/nginx/conf.d/waf.conf
--- a/frontend/nginx.conf
+++ b/frontend/nginx.conf
@@ -1,54 +0,0 @@
 events {
    worker_connections 1024;
 }
 http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    # Основной сервер для легитимных доменов
    server {
        listen 80;
        server_name hb3-accelerator.com www.hb3-accelerator.com localhost;
        # API прокси (точное совпадение для /api/)
        location /api/ {
            proxy_pass http://dapp-backend:8000;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Host $host;
            proxy_set_header X-Forwarded-Port $server_port;
            # Передача cookies и сессии
            proxy_pass_request_headers on;
            proxy_pass_request_body on;
            proxy_set_header Cookie $http_cookie;
            proxy_set_header Authorization $http_authorization;
        }
        # Проксирование к development серверу frontend
        location / {
            proxy_pass http://dapp-frontend:5173;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Host $host;
            proxy_set_header X-Forwarded-Port $server_port;
        }
    }
    # Сервер по умолчанию для блокировки подозрительных доменов
    server {
        listen 80 default_server;
        server_name _;
        # Возвращаем 444 (Connection Closed Without Response)
        return 444;
        # Логируем попытки доступа к подозрительным доменам
        access_log /var/log/nginx/suspicious_domains.log;
    }
 } 
--- a/security-monitor.sh
+++ b/security-monitor.sh
@@ -1,204 +0,0 @@
 #!/bin/bash
 # Copyright (c) 2024-2025 Тарабанов Александр Викторович
 # All rights reserved.
 # 
 # This software is proprietary and confidential.
 # Unauthorized copying, modification, or distribution is prohibited.
 # 
 # For licensing inquiries: info@hb3-accelerator.com
 # Website: https://hb3-accelerator.com
 # GitHub: https://github.com/VC-HB3-Accelerator
 # Скрипт мониторинга безопасности для DLE
 # Автоматически блокирует подозрительные IP адреса и домены
 LOG_FILE="/var/log/nginx/access.log"
 SUSPICIOUS_LOG_FILE="/var/log/nginx/suspicious_domains.log"
 BLOCKED_IPS_FILE="/var/log/security-monitor/blocked_ips.txt"
 SUSPICIOUS_DOMAINS_FILE="/var/log/security-monitor/suspicious_domains.txt"
 NGINX_CONTAINER="dapp-frontend-nginx"
 WAF_CONF_FILE="/etc/nginx/conf.d/waf.conf"
 # Создаем файлы для хранения данных
 touch "$BLOCKED_IPS_FILE"
 touch "$SUSPICIOUS_DOMAINS_FILE"
 echo "🔒 Запуск мониторинга безопасности DLE..."
 echo "📊 Анализ логов nginx контейнера: $NGINX_CONTAINER"
 echo "🚫 Заблокированные IP: $BLOCKED_IPS_FILE"
 echo "🌐 Подозрительные домены: $SUSPICIOUS_DOMAINS_FILE"
 # Список подозрительных доменов
 SUSPICIOUS_DOMAINS=(
    "akamai-inputs-"
    "gosipgambar"
    "gitlab.cloud"
    "autodiscover.home"
    "akamai-san"
    "akamai-inputs-cleanaway"
    "akamai-inputs-hgmccarterenglish"
    "akamai-inputs-nbpdnj"
    "akamai-inputs-rvc"
    "akamai-inputs-erau"
    "akamai-inputs-notion"
    "bestcupcakerecipes"
    "usmc1"
    "test"
    "admin"
    "dev"
    "staging"
    "beta"
    "demo"
    "old"
    "new"
    "backup"
 )
 # Функция для создания WAF конфигурации
 create_waf_config() {
    echo "🔧 WAF конфигурация уже существует в nginx"
    # WAF конфигурация уже создана при сборке контейнера
 }
 # Функция для блокировки IP
 block_ip() {
    local ip=$1
    local reason=$2
    # Исключаем внутренние Docker IP адреса
    if [[ "$ip" =~ ^172\.(1[6-9]|2[0-9]|3[0-1])\. ]] || [[ "$ip" =~ ^10\. ]] || [[ "$ip" =~ ^192\.168\. ]]; then
        echo "🔒 Пропускаем внутренний IP: $ip (причина: $reason)"
        return
    fi
    # Проверяем, не заблокирован ли уже IP
    if grep -q "^$ip$" "$BLOCKED_IPS_FILE"; then
        return
    fi
    echo "$ip" >> "$BLOCKED_IPS_FILE"
    echo "🚫 Блокируем IP: $ip (причина: $reason)"
    # Логируем в файл для дальнейшей обработки
    echo "$(date): $ip - $reason" >> "/var/log/security-monitor/blocked_ips_log.txt"
    echo "✅ IP $ip заблокирован (логируется для manual review)"
 }
 # Функция для логирования подозрительных доменов
 log_suspicious_domain() {
    local domain=$1
    local ip=$2
    # Проверяем, не логировали ли уже этот домен
    if grep -q "^$domain$" "$SUSPICIOUS_DOMAINS_FILE"; then
        return
    fi
    echo "$domain" >> "$SUSPICIOUS_DOMAINS_FILE"
    echo "🌐 Подозрительный домен: $domain (IP: $ip)"
    # Блокируем IP, который обращается к подозрительному домену
    if [ -n "$ip" ]; then
        block_ip "$ip" "Обращение к подозрительному домену: $domain"
    fi
 }
 # Функция для анализа Docker логов nginx
 analyze_docker_logs() {
    echo "🔍 Анализ Docker логов nginx на предмет атак..."
    # Анализируем логи nginx контейнера (последние записи + следящий режим)
    docker logs --tail 10 --follow "$NGINX_CONTAINER" 2>/dev/null | while read line; do
        # Ищем HTTP запросы в логах (формат nginx access log)
        if echo "$line" | grep -qE '"(GET|POST|HEAD|PUT|DELETE|OPTIONS)'; then
            # Извлекаем IP адрес (первое поле в логе)
            ip=$(echo "$line" | awk '{print $1}')
            # Извлекаем метод и URI из кавычек "GET /path HTTP/1.1"
            request_line=$(echo "$line" | grep -oE '"[^"]*"' | head -1 | sed 's/"//g')
            method=$(echo "$request_line" | awk '{print $1}')
            uri=$(echo "$request_line" | awk '{print $2}')
            # Извлекаем User-Agent (последняя строка в кавычках)
            user_agent=$(echo "$line" | grep -oE '"[^"]*"' | tail -1 | sed 's/"//g')
            # Домен пока оставляем пустым (можно добавить парсинг из логов при необходимости)
            domain=""
            if [ -n "$ip" ]; then
                echo "🔍 Анализируем запрос: $ip -> $domain -> $uri"
                # Проверяем на подозрительные запросы
                if echo "$uri" | grep -q "\.env\|\.config\|\.ini\|\.sql\|\.bak\|\.log"; then
                    block_ip "$ip" "Попытка доступа к чувствительным файлам: $uri"
                fi
                # Проверяем на сканирование резервных копий и архивов
                if echo "$uri" | grep -q "backup\|backups\|bak\|old\|restore\|\.tar\|\.gz\|sftp-config"; then
                    block_ip "$ip" "Сканирование резервных копий и конфигурационных файлов: $uri"
                fi
                # Проверяем на подозрительные поддомены
                if echo "$domain" | grep -q "bestcupcakerecipes\|usmc1\|test\|admin\|dev\|staging"; then
                    block_ip "$ip" "Попытка доступа к несуществующим поддоменам: $domain"
                fi
                # Проверяем на старые User-Agent
                if echo "$user_agent" | grep -q "Chrome/[1-7][0-9]\."; then
                    block_ip "$ip" "Подозрительный User-Agent (старый Chrome): $user_agent"
                fi
                if echo "$user_agent" | grep -q "Safari/[1-5][0-9][0-9]\."; then
                    block_ip "$ip" "Подозрительный User-Agent (старый Safari): $user_agent"
                fi
                # Проверяем на известные сканеры
                if echo "$user_agent" | grep -qi "bot\|crawler\|spider\|scanner\|nmap\|sqlmap"; then
                    block_ip "$ip" "Известный сканер/бот: $user_agent"
                fi
                # Проверяем на подозрительные домены
                for suspicious in "${SUSPICIOUS_DOMAINS[@]}"; do
                    if echo "$domain" | grep -qi "$suspicious"; then
                        log_suspicious_domain "$domain" "$ip"
                        break
                    fi
                done
                # Проверяем на множественные запросы (DDoS)
                request_count=$(docker logs "$NGINX_CONTAINER" | grep "$ip" | wc -l)
                if [ "$request_count" -gt 100 ]; then
                    block_ip "$ip" "Подозрение на DDoS ($request_count запросов)"
                fi
            fi
        fi
    done
 }
 # Функция для показа статистики
 show_stats() {
    echo "📈 Статистика безопасности:"
    echo "Заблокированных IP: $(wc -l < "$BLOCKED_IPS_FILE")"
    echo "Подозрительных доменов: $(wc -l < "$SUSPICIOUS_DOMAINS_FILE")"
    echo ""
    echo "Последние заблокированные IP:"
    tail -5 "$BLOCKED_IPS_FILE" 2>/dev/null || echo "Нет заблокированных IP"
    echo ""
    echo "Последние подозрительные домены:"
    tail -5 "$SUSPICIOUS_DOMAINS_FILE" 2>/dev/null || echo "Нет подозрительных доменов"
 }
 # Инициализация WAF конфигурации
 echo "🔧 Инициализация WAF конфигурации..."
 create_waf_config
 # Основной цикл
 echo "🔄 Начинаем мониторинг безопасности... $(date)"
 # Показываем начальную статистику
 show_stats
 # Запускаем анализ логов (блокирующий режим - будет работать постоянно)
 analyze_docker_logs 
--- a/start-security-monitor.sh
+++ b/start-security-monitor.sh
@@ -1,34 +0,0 @@
 #!/bin/bash
 # Copyright (c) 2024-2025 Тарабанов Александр Викторович
 # All rights reserved.
 # 
 # This software is proprietary and confidential.
 # Unauthorized copying, modification, or distribution is prohibited.
 # 
 # For licensing inquiries: info@hb3-accelerator.com
 # Website: https://hb3-accelerator.com
 # GitHub: https://github.com/VC-HB3-Accelerator
 # Простой скрипт для запуска мониторинга безопасности
 # Использование: ./start-security-monitor.sh
 echo "🔒 Запуск мониторинга безопасности DLE..."
 # Останавливаем старые процессы мониторинга
 echo "🛑 Остановка старых процессов мониторинга..."
 pkill -f 'security-monitor.sh' 2>/dev/null || true
 sleep 2
 # Запускаем мониторинг в фоне
 nohup ./security-monitor.sh > security-monitor.log 2>&1 &
 echo "✅ Мониторинг запущен в фоне"
 echo "PID: $!"
 echo ""
 echo "Команды управления:"
 echo "  Остановить: pkill -f 'security-monitor.sh'"
 echo "  Статус: ps aux | grep security-monitor"
 echo "  Логи: tail -f security-monitor.log"
 echo "  Подозрительные домены: tail -f /var/log/security-monitor/suspicious_domains.txt"
 echo "  Заблокированные IP: tail -f /var/log/security-monitor/blocked_ips.txt"