前言:
我们在搭建网站时,通常会使用SSL证书搭配cdn使用,以保护源服务器IP不被泄露以及防止位置数据被他人劫持,但是SSL证书可能泄露你网站ip的凶手!
原理:
预防方法:
请确保你的网站没有被 Cesys 收录,如果收录只能更换IP地址
1.禁止IP直接访问网站
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
return 444;
}
2.使用错误的证书[推荐]
建议使用Myssl的测试证书生成工具
然后在宝塔面板把证书全部换为这个测试证书,(CDN处的证书 请勿 更换,如果更换会导致浏览器提示危险)
3.屏蔽Censys的扫描IP
Censys给出了用于扫描的IP段,因此,你只需要屏蔽如下 IP 即可:
162.142.125.0/24
167.94.138.0/24
167.94.145.0/24
167.94.146.0/24
167.248.133.0/24
192.35.168.0/23
2620:96:e000:b0cc:e::
4.屏蔽 UA
Censys 也给出了用于扫描的 User Agent,请屏蔽它。你可以创建一个 block_censysua.conf 的文件:
if ($http_user_agent ~ "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)")
{
return 418;
}
然后在 nginx.conf 的 server 或者 location 中引用它
include block_censysua.conf;
建议:
5.开放端口
请按需开放端口,如果你要建站,那么除了 80 443 端口,剩下的只需要开放你的 SSH 端口就可以了。如果你只用 VNC 登录,那 SSH 端口甚至都可以不开放。
另外,如果你使用了宝塔面板,请一定要修改默认登录端口 8888 ——因此受害的人不在少数。(虽然现在宝塔已经开始随机生成面板地址了)
6.DNS解析
如果你前边的措施都还没做,就已经为域名解析好了源站的 IP,请赶快删除解析。不少扫描解析记录的网站也会暴露你的源站地址,甚至都不需要 Censys 出场。
7.少去检测网站
检测网站往往会为你的每一次测试进行排行,而这就正好为攻击者提供了名单。更有甚者,会公布一些除了你没人知道的子域名,比如 myssl.com
© 版权声明
如果文章没有标注为转载/特定所有人,则文章版权归丫丫博客所有,请转载后在文章内留下“本文章为丫丫博客(https://blog.yaqwq.top)所有”如果不愿意注明,请不要转载!
THE END
暂无评论内容