全球主机交流论坛

标题: 给用宝塔6.x的用户提个醒 [打印本页]

作者: By小酷 时间: 2018-12-2 10:37
标题: 给用宝塔6.x的用户提个醒
原来用宝塔5.9的时候，病没有发现这个问题
换了6以后才注意到，如果你使用CF，并且开了https
很有可能会出现源ip地址泄露，就算你没解析过这个ip

泄露查询方法
https://censys.io/ipv4?q=你的域名
会列出所有你的ip

避免方法可以参考
https://www.howtoing.com/how-to-host-a-website-using-cloudflare-and-nginx-on-ubuntu-16-04

禁止CF以外的链接https

作者: 天城 时间: 2018-12-2 10:40

卧槽还真的是

作者: bax 时间: 2018-12-2 10:42
没用BT也能查到

作者: papawan 时间: 2018-12-2 10:42
本帖最后由 papawan 于 2018-12-2 10:49 编辑

由于CenSys同时也收集IP对应的证书信息，只要你是以Https方式回源，就有这个问题

有几种方法可以避免
1. Http方式回源(中间人攻击风险)
2.采用CF签发的非公共信任证书(大佬说不行，但是我用这方法是ok的)
3.楼主的方法

作者: zhoutiancai 时间: 2018-12-2 10:44
我去这么厉害那CDN 没有什么用了

作者: xfspace 时间: 2018-12-2 10:45
lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server

作者: By小酷 时间: 2018-12-2 10:46

papawan 发表于 2018-12-2 10:42
由于CenSys同时也收集IP对应的证书信息，只要你是以Https方式回源，就有这个问题

有几种方法可以避免

第二条不行，我用的就是15年的自签名证书，还是被收集了

作者: hxuf 时间: 2018-12-2 10:47
cf打穿的方式很多大不了到时候换小鸡

作者: By小酷 时间: 2018-12-2 10:48

xfspace 发表于 2018-12-2 10:45
lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server ...

提个醒有错吗

作者: papawan 时间: 2018-12-2 10:50

xfspace 发表于 2018-12-2 10:45
lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server ...

到问题就是你做了也没用，如果default 443的证书和你网站的证书一致，照样分分钟凉凉

作者: 叶子 时间: 2018-12-2 10:57
不知道5.9的行不行。。

作者: Madlifer 时间: 2018-12-2 11:05
提示: 作者被禁止或删除内容自动屏蔽

作者: zhxhwyzh14 时间: 2018-12-2 11:11

xfspace 发表于 2018-12-2 10:45
lz 一天就想搞个大事情会用nginx的都知道要做443 default_server 80 default_server ...

大佬 443的default server必须配置证书吗？

作者: zhxhwyzh14 时间: 2018-12-2 11:12
应该是给nginx用户提醒吧哈哈不过还是谢谢分享

作者: chxin 时间: 2018-12-2 11:33
厉害了，ip绑定到域名了，但是没解析也能查到

作者: By小酷 时间: 2018-12-2 21:02

chxin 发表于 2018-12-2 11:33
厉害了，ip绑定到域名了，但是没解析也能查到

那个网站就是厉害

作者: ccxiaoshi 时间: 2018-12-2 21:04
禁止cloudflare以外的ip访问不就行了

作者: zhangl0512 时间: 2018-12-2 21:11
谢谢大佬，没想到，都被暴露了，查了查，一个都不放过

作者: king51 时间: 2018-12-2 21:24

没套cf，打死不开了

作者: 广东雨神 时间: 2018-12-2 21:24
提示: 作者被禁止或删除内容自动屏蔽

作者: By小酷 时间: 2018-12-2 21:38

广东雨神发表于 2018-12-2 21:24
要是现在给censys扫到真实IP了，下一步要怎么做，我的另一个站给扫出来了

等死就好了(.﹒︣︿﹒︣.)

作者: aiseo 时间: 2018-12-2 23:08
配置好了

未发送所需的SSL证书

作者: loveminds 时间: 2018-12-3 06:13

不给测试IP官网又挂CF的站多数我都是这样扫

作者: ghyghoo8 时间: 2018-12-3 06:34
創建對應ip的ssl主機名然後iptables drop掉掃了下沒看到自己的

作者: 88232128 时间: 2018-12-3 08:45
看样子不就是空主机头吗？啥区别

作者: By小酷 时间: 2018-12-3 14:33

88232128 发表于 2018-12-3 08:45
看样子不就是空主机头吗？啥区别

拿到源ip，人家就可以直接ddcc米原始服务器，一打就死

作者: 88232128 时间: 2018-12-3 14:50

By小酷发表于 2018-12-3 14:33
拿到源ip，人家就可以直接ddcc米原始服务器，一打就死

没太懂，是cf的bug还是宝塔的bug，能不能自己改设置

作者: papawan 时间: 2018-12-3 14:52

88232128 发表于 2018-12-3 14:50
没太懂，是cf的bug还是宝塔的bug，能不能自己改设置

不单单是bt和cf的问题，只要是Web服务器，没有特意配置，都有这种问题

作者: 88232128 时间: 2018-12-3 15:02

papawan 发表于 2018-12-3 14:52
不单单是bt和cf的问题，只要是Web服务器，没有特意配置，都有这种问题

需要怎么配置，我还是没看懂，是禁止空主机头访问吗

作者: loveme 时间: 2018-12-15 12:14
等死就好

作者: sh3dowin 时间: 2018-12-15 12:23
之前查还没有。。啥时候给我扫到的ip

作者: tomcb 时间: 2018-12-15 13:28
Warning: Your search did not return any results.

作者: 八秒 时间: 2018-12-15 13:53
果然扫出来了

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)