全球主机交流论坛

标题: 【教程】【防护】教你简单防护被censys.io泄露的源站ip。。 [打印本页]

作者: ukmg 时间: 2019-5-9 17:59
标题: 【教程】【防护】教你简单防护被censys.io泄露的源站ip。。
本帖最后由 ukmg 于 2019-5-10 00:48 编辑

起因

有大佬谈论到，套了cdn的网站源ip的查询方法。其中提到censys.io。输入网址可以直接查询到原站IP。

查了下自己两台小鸡都显示了源ip。感谢@dalaoa 大佬指导的方法用于简单防护，这里分享出来。。

1.原理

我们建站源站若使用了ssl. 那么直接访问，https://源站ip. 就可以得到我们网址，以及证书。

这样就间接确定了，我们网站的域名以及真实ip. censys.io通过扫描 ip地址来得到域名从而暴露源站 ip.

2.防护

只要访问我们的ip,不暴露真实证书就可以了。

↓↓以下是教程↓↓

a.宝塔新建一个网站，域名为自己真实的ip地址

b.添加假的ssl证书。

这里提供一份空白的。感谢 @dansnow 大佬签发的空白证书

证书触发了关键词河蟹打不出来，直接下载附件吧。。

填写证书。保存。强制https

b.整站404。

location / {
return 404;
}

复制代码

3.确认效果

没有暴露证书及域名即可。

4.补充解释

添加这个ip域名的网站，只针对443 和80端口，其他端口功能不会受影响。

使用测试后遇到一个小bug, 添加ip作为域名后，
使用别的小鸡反代自己的网站真实ip也反代不了。可能是ip域名优先度比较高吧。有了解的大佬也可以补充下。

4.最后

以上教程感谢论坛大佬的指导了，如果有什么问题欢迎指正。
不过套cf的要是自己网站被搞，打的太厉害还是回源的。

作者: jackz3 时间: 2019-5-9 18:00
我白名单cf 其他全禁止了

作者: jshkk 时间: 2019-5-9 18:00
非http咋弄？

作者: ccf 时间: 2019-5-9 18:02

jackz3 发表于 2019-5-9 18:00
我白名单cf 其他全禁止了

这个看起来不错

作者: myseil 时间: 2019-5-9 18:04
这个可以试试！

作者: nk123 时间: 2019-5-9 18:11
就冲你这分享精神，给你个赞！

作者: cangshui 时间: 2019-5-9 18:19
方法：不用nginx 输入ip设置跳转其他网站此贴完结

作者: Gobala 时间: 2019-5-9 18:35
感谢大佬分享技术教程

作者: xuhao0080 时间: 2019-5-9 18:37
本帖最后由 xuhao0080 于 2019-5-9 18:43 编辑

Firewalld 加源站访问限制

Centos:

1. yum install firewalld(如果有就不用装了)

2. cd /etc/firewalld/zones/

3. vi cfrules.xml

粘贴以下代码
详细请参考 https://www.cloudflare.com/ips/ 回源IP列表
可能会有更新按照其他一样加上就可以了

<zone>
<source address="173.245.48.0/20"/>
<source address="103.21.244.0/22"/>
<source address="103.22.200.0/22"/>
<source address="103.31.4.0/22"/>
<source address="141.101.64.0/18"/>
<source address="108.162.192.0/18"/>
<source address="190.93.240.0/20"/>
<source address="188.114.96.0/20"/>
<source address="197.234.240.0/22"/>
<source address="198.41.128.0/17"/>
<source address="162.158.0.0/15"/>
<source address="104.16.0.0/12"/>
<source address="172.64.0.0/13"/>
<source address="131.0.72.0/22"/>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="443"/>
</zone>

复制代码

4. firewall-cmd --reload
如显示success则成功。

防止回源可以试试
https://cdn.kevsrv.com
CNAME CDN
指定CloudFlare CNAME的IP 理论上就不会回源了

作者: ukmg 时间: 2019-5-9 18:49

jshkk 发表于 2019-5-9 18:00
非http咋弄？

非http应该不会暴露吧

作者: jshkk 时间: 2019-5-9 18:50

ukmg 发表于 2019-5-9 18:49
非http应该不会暴露吧

错了应该是http的咋弄....

作者: ccf 时间: 2019-5-9 18:52

cangshui 发表于 2019-5-9 18:19
方法：不用nginx 输入ip设置跳转其他网站此贴完结

为啥不能用 nginx

作者: 大白馒头。 时间: 2019-5-9 18:54
马克

作者: doing 时间: 2019-5-9 18:58
不行啊，我试了下，用了cf的能查不到源ip

作者: Creling_2 时间: 2019-5-9 19:15
原理介绍地依然很模糊啊，访问 https://IP 并不会一定显示证书

作者: ukmg 时间: 2019-5-9 19:41

Creling_2 发表于 2019-5-9 19:15
原理介绍地依然很模糊啊，访问 https://IP 并不会一定显示证书

原理我也是抄的

大佬也可以深入研究下

作者: ccf 时间: 2019-5-9 19:42

Creling_2 发表于 2019-5-9 19:15
原理介绍地依然很模糊啊，访问 https://IP 并不会一定显示证书

一般来说这么访问都能找到证书吧

作者: dovis 时间: 2019-5-9 20:09
安全组配合 https://www.cloudflare.com/ips    这个的ip列表，只允许下列ip 访问 80 443 ，然后0.0.0.0/0 tcp:80,443 拒绝在最下一行放行白名单列在上面如下，cf 的博客还有相关安全设置conf 的看看弄一下就是
173.245.48.0/20    TCP:80,443 允许
0.0.0.0/0                   TCP:443,80 拒绝

作者: Creling_2 时间: 2019-5-9 20:19

ccf 发表于 2019-5-9 19:42
一般来说这么访问都能找到证书吧

或许能找到解析到这个ip的某些域名，但是找不到全部。你可以用虚拟主机的共享ip测试一下

作者: ccf 时间: 2019-5-9 20:25

Creling_2 发表于 2019-5-9 20:19
或许能找到解析到这个ip的某些域名，但是找不到全部。你可以用虚拟主机的共享ip测试一下 ...

虚拟主机确实这样，我估计这个扫到几个算几个，况且一般用 https 的基本都是独立IP

作者: 30826 时间: 2019-5-9 20:44
楼主这个确实需要重视，很不错。
Cloudflare回源已经老黄历了，现在都不会回源了，被打太狠顶多切换到垃圾线路，国内没法访问。

作者: yeshan 时间: 2019-5-9 20:44
ipotables加一加完事，没那么麻烦

作者: jasonyu 时间: 2019-5-9 21:27
查出很多个IP的是什么情况

作者: ukmg 时间: 2019-5-9 21:28
注意看你的网址，应该只有第一个是，，

作者: 御坂 时间: 2019-5-9 21:39
其实有个网站能查到解析记录...

作者: ukmg 时间: 2019-5-9 21:45

御坂发表于 2019-5-9 21:39
其实有个网站能查到解析记录...

其实普通人建站一般也就套个cdn简单防护。。谁会知道配置个证书也会被抄底啊。

还有大佬说还有好几个同类型的网站可以直接查ip。可啪可啪

作者: 御坂 时间: 2019-5-9 21:48

ukmg 发表于 2019-5-9 21:45
其实普通人建站一般也就套个cdn简单防护。。谁会知道配置个证书也会被抄底啊。

还有大佬说还有好 ...

是的比如说你套cdn前肯定（或许）会把域名直接解析过去确认无误了再上cdn
这一查就查出来了...还是比较可怕的

作者: 匿名 时间: 2019-5-9 21:49
套个CF自签证书完事

作者: 字数补丁 时间: 2019-5-9 22:26
本帖最后由字数补丁于 2019-5-9 22:29 编辑

这个证书好像搞不了，

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/letsencrypt/live/45.79.***.***/privkey.pem") failed (SSL: error:09091064

EM routines

EM_read_bio_ex:bad base64 decode error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file

EM lib)
nginx: configuration file /www/server/nginx/conf/nginx.conf test failed

作者: Effervescence 时间: 2019-5-9 22:27
本帖最后由 Effervescence 于 2019-5-9 22:31 编辑

字数补丁发表于 2019-5-9 22:26
这个证书好像搞不了，

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/letsencrypt/live/ ...

暴露IP了

作者: 字数补丁 时间: 2019-5-9 22:29

Effervescence 发表于 2019-5-9 22:27
暴露IP了

卧槽，没注意~

作者: 字数补丁 时间: 2019-5-9 22:30

Effervescence 发表于 2019-5-9 22:27
暴露IP了

大佬麻烦您编辑下，把IP去掉~

作者: hcyme 时间: 2019-5-9 22:32
学习防护防护

作者: mmmmmiku 时间: 2019-5-9 22:33
141.212.121.0/24
141.212.122.0/24
141.212.123.0/24
198.108.66.0/23
censys的ip 黑名单就行了

作者: ukmg 时间: 2019-5-9 22:35
本帖最后由 ukmg 于 2019-5-9 22:40 编辑

字数补丁发表于 2019-5-9 22:26
这个证书好像搞不了，

nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/letsencrypt/live/45.79.***.** ...

论坛的关键词频闭有毒。。打出来证书中间几个字符变中文了我上传附件了

作者: 字数补丁 时间: 2019-5-9 22:44

ukmg 发表于 2019-5-9 22:35
论坛的关键词频闭有毒。。打出来证书中间几个字符变中文了我上传附件了 ...

感谢大佬的教程！学习了

作者: cangshui 时间: 2019-5-9 23:00

ccf 发表于 2019-5-9 18:52
为啥不能用 nginx

nginx IP访问默认会泄露你的HTTPS证书证书一比对就知道你的域名了，apache就不会这样

作者: bojvan 时间: 2019-5-9 23:07
不错，很有用

作者: dansnow 时间: 2019-5-9 23:39
这个空白证书是我自己签来玩的2333...不过我博客里面的方法应该简单一点..

作者: hxyz 时间: 2019-5-9 23:49
感谢大佬技术指导！

作者: 502 时间: 2019-5-10 00:11
我的方法是套个cf变成https，源站不申请证书只用80，简单快速

作者: fatal 时间: 2019-5-10 00:12

dansnow 发表于 2019-5-9 23:39
这个空白证书是我自己签来玩的2333...不过我博客里面的方法应该简单一点..

大佬博客地址可以pm一个么？想学习一下

作者: 福利吧 时间: 2019-5-10 00:16
非常只好，已经收藏起来了。

作者: hlsk 时间: 2019-5-10 00:38
b.整站404
会影响宝塔访问和ssh ftp之类的吗

作者: ukmg 时间: 2019-5-10 00:41

hlsk 发表于 2019-5-10 00:38
b.整站404
会影响宝塔访问和ssh ftp之类的吗

整站301也行，，

添加这个域名只针对443 和80端口，其他端口功能不会受影响。

作者: english 时间: 2019-5-10 08:11
censys上面存了历史记录，这很恶心，你按照教程修正了，别人照样能找到你IP

作者: ymcoming 时间: 2019-5-10 08:36
我caddy+cloudflare的3个网站都查不出来真实IP，是不是caddy的防护比nginx要强点？

作者: ccf 时间: 2019-5-10 09:41

cangshui 发表于 2019-5-9 23:00
nginx IP访问默认会泄露你的HTTPS证书证书一比对就知道你的域名了，apache就不会这样 ...

好吧，按楼主方法，搞个自签发的IP证书就可以了吧

作者: cangshui 时间: 2019-5-10 10:21

ccf 发表于 2019-5-10 09:41
好吧，按楼主方法，搞个自签发的IP证书就可以了吧

对，记得把自签的那个假域名设为默认域名

作者: 七夏浅笑 时间: 2019-5-10 18:16
直接用appnode也可以诶

作者: VPSMarket 时间: 2019-5-10 18:22
还真的是把我的地址给扫出来了

作者: VPSMarket 时间: 2019-5-10 18:49

VPSMarket 发表于 2019-5-10 18:22
还真的是把我的地址给扫出来了

我是nginx 直接按照ip转发的看来要改一下了

作者: ccf 时间: 2019-5-10 18:56

cangshui 发表于 2019-5-10 10:21
对，记得把自签的那个假域名设为默认域名

多谢，有人知道 IIS 怎么搞么，貌似 https://IP 也是直接泄露证书了

欢迎光临全球主机交流论坛 (https://loc.888543.xyz/)