Форум

в результате я решил запретить в nginx запросы с признаками вредоносного кода

[QUOTE][FONT=Cascadia Mono, monospace][SIZE=13pt][COLOR=#657b83]/etc/nginx/bx/site_avaliable/ssl.s1.conf - только тут, доступ по 80-му порту и так закрыт, других сайтов нет.[/COLOR][/SIZE][/FONT][/QUOTE]

[QUOTE]server {
[FONT=Cascadia Mono, monospace][SIZE=13pt][COLOR=#657b83]# всякое[/COLOR][/SIZE][/FONT]
[FONT=Cascadia Mono, monospace][SIZE=13pt][COLOR=#657b83] # attack blocker[/COLOR]
[COLOR=#657b83] if ($query_string ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt)") {[/COLOR]
[COLOR=#657b83] return 403; # Deny access with HTTP status 403[/COLOR]
[COLOR=#657b83] }[/COLOR]

[COLOR=#657b83] if ($http_referer ~* "(file_put_contents|file_get_contents|base64_decode|js_error.txt)") {[/COLOR]
[COLOR=#657b83] return 403; # Deny access with HTTP status 403[/COLOR]
[COLOR=#657b83] }
# всякое
[/COLOR][/SIZE][/FONT]}[/QUOTE]

это код для проверки присутствия в запросе запрещенных команд и прерывания обработки запроса. в моем случае команды file_put_contents и base64_decode находились в заголовке Referer
[COLOR=#a9b7c6][FONT=JetBrains Mono SemiBold, monospace][SIZE=10.5pt][COLOR=#808080]
[/COLOR][/SIZE][/FONT][/COLOR][COLOR=#a9b7c6]
[/COLOR]
[CODE]$arr_data = array_merge($_POST, $_GET, $_SERVER);

$fix_asd = array_filter($arr_data, function ($value) {
   $minus_values = [

'file_put_contents',

'base64_decode'

];
   foreach ($minus_values as $minus) {
       if (is_string($value) && str_contains($value, $minus)) {
           return true;
       }
   }

   return false;
});

if (!empty($fix_asd)) {
   http_response_code(403);
   die('not allowed action');
}[/CODE]