用CDN隐藏网站真实IP就万无一失了?还需要解决宝塔面板 Https 串站问题!

有一个坑爹的网站https://censys.io/,时刻在全网扫描激活的IP地址,然后利用nginx一个“漏洞”来检查IP对应的域名,并做了对应关系,所以会被搜索到真实IP,如果服务器是nginx的web服务,可以直接通过https://ip地址来访问,nginx会向浏览器发送默认的SSL证书,通过查看证书详情可以找到对应的域名。如果两厢匹配,那么你的站就被这个坑爹的censys.io给记录了,通过censys.io搜索域名或IP就能找到关联信息。

1 前言

宝塔面板https 串站

在这里引用宝塔官方说法:在未指定 SSL 默认站点时,未开启 SSL 的站点使用 HTTPS 会直接访问到已开启 SSL 的站点

【重要安全】解决宝塔面板 https 串站问题,保护好源站 IP

相信使用宝塔面板的盆友,应该都遇到过宝塔这个 https 串站问题。很多盆友遇到了,但忽略了它,觉得没啥影响的,就置之不理了…

置之不理肯定是不行的,不能有掩耳盗铃侥幸心理,通过这个漏洞,“大有可为”了!先不说串站可能会影响收录 SEO 这一点了,更重要的是它会导致一个不小的安全问题:你的源站 IP 正在泄露,即便你使用了CDN也不行!

至于怎么泄露源站 IP,这里只简单的说一下:可以直接通过 https://你服务器 IP 地址来访问,nginx 会向浏览器发送默认的 SSL 证书,通过查看证书详情可以找到对应的域名。详细了解请见下面的参考文章 1。

下面龙笑天就来说下本文重点了,怎么堵上这个串站、泄露源站 IP 的漏洞。使用宝塔面板的,跟着下面步骤一步步做就 OJBK 了;使用 LNMP 一键包或其它程序的,也可以参考着处理下。

2 新建虚假站点

2.1 新建站点

新建一个不存在的站点,域名填写为:default.default,提交,如下图:

【重要安全】解决宝塔面板 https 串站问题,保护好源站 IP

2.2 删除默认文件

点击下图红框,进入此站点根目录,删除里面的默认文件 index.html 和 404.html

【重要安全】解决宝塔面板 https 串站问题,保护好源站 IP

3 配置 SSL 证书

回到宝塔“网站管理”,找到 default.default,点“设置”进入网站配置,然后点击“SSL”,如下图:

【重要安全】解决宝塔面板 https 串站问题,保护好源站 IP

然后密钥和证书填写如下,填写完毕,点保存:

已登录

左边的“密钥(KEY)”填:

-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEArNNdCOFAe7b8iUxZ1FKr8p3qeWjn8uzbP6NkvBGU3dtlacVz
3ivW0lf8bFDhBPlxUEsrxge2QAruz83ABdaZNxiDHKA5IRLiYJo2gzlFQ/sDJ967
ScipxFrZ0fza6tWX/TOVNU7VacOy1Fc4ZwDW9yZFpXiFWInbLF7ZNLj986Gc/Esj
msQM5M5nKhtQNu0g2iYzz0d hB0saMyFh5wfXH4i/gmKtpa4IbV6YqGMHpvjroIt
McNqHPMyWoDwBa3e8CW5hop8sb2b9FOwEJMRLSijTi5l/K 3oQDjNJbCWfjUG8yg
jYUiJ4ae1Zl 5rcYkvsg26 B0PTax8zX L834QIDAQABAoIBADpcaddc0Xy1j1QB
/3eurzgP0aVMIr q8mLsF1FXEpFUzEtKjVUiMrn3Ult1eHdIkNZPfCm0Yvv/dSOh
VE3kaPrtASGCjag4i0 Z4/yuM1DAjBFDqrVA2OtgzpuVqouQs3GioKlOxMyhdFs2
VOqbovv05aH6L/V1IBk8slaWfdNuWm/2X2Qr8q8VQa6VImBhx0K8WHG5Qjk q0uN
8wRuYo/zeRK4a9U6lcCJxh JHOGQ1MjqPY1gPrmEJR2cv2KzfbHNynelusWNAswu
HrhyGD99spVir16cfMzSWtXknPuBfj/evdXmW4bLAJHYIpZ8X53pxSbxmfR4Ok0z
/PbbMP0CgYEA4uM2alMJRSbXqsINodxziwu7xHX3u0Y9FcxGR2t3soRRkBqAEGmY
lk8qTZW648q6Hjv 6n1WaDN8Mpgv6T6jkEaJggQfkhivN5p4sSdFiZxoGDMDNJcN
ePf08WeTtJ2S2ylATc6WjuDmm3FUXc9eLq5mmIY9uclvcWY1nvi4tLMCgYEAwwBU
J97gxQAMrqScgVmVG72CNzMSqfAS3QOrN529Xtr/BU/oNYNSAhdmF/PD2J0zMNTK
L92komP0VkZrNCbMHau7p3RZa hUqRI7BMIIi2wVdZzfL5PWAScGvj3e5Sfjs8gA
xsiNyQREkW47qXzgJd3yk1CK7iS3IZ FCWDpsxsCgYEA3NYFB/ZspndJIbahqDM3
71XrXCzqhMi3 jiLC0cKCaMK9HUmw1LUpzDE3yFm ANBpt4En96BNQkv0Nsafy9t
6qcNfpRe2kfWfAuJf/zWjTvEghFdBFomTeEi87k6JmndIB6FrXXwS3 SVig30ttd
M5ii2cCH4gazxy R73rt5UsCgYAvcwYHSaFx7kgnuuBmTTEONffYjLHu7f75Dqp7
9wMccLd7SG1dkB3FaoIqM Ok8uOA71ZffVRRO3c6AxqU7xfd5GreHV6g9kCbf1cj
Gj/QBTXXj5tzTUrWrvNiGVYCdsledr1RoX12u3Yf2S3lWQCF1lLva7rSpdZ19QX/
OTjEnwKBgCKXhyhldtdNphSG7x4PRSa8P4sFkMaP6 qTs0JLWYqpFiGVXnELxitG
IBotP YEAcjqUDUsoxbLsOJtZCCCKFK9SvhbG7u  jFDnkZGELNWYNj/6edm9jxX
5VIUDUAABhkbIXWayA9/2ZxhkGDwX8qBqeaRKp2Z6hLhTbAEW8bn
-----END RSA PRIVATE KEY-----

右边的“证书(PEM 格式)”填:

-----BEGIN CERTIFICATE-----
MIIDVjCCAj4CCQCneja9to JrTANBgkqhkiG9w0BAQsFADBsMQswCQYDVQQGEwJD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 hB0saMyFh5wf
XH4i/gmKtpa4IbV6YqGMHpvjroItMcNqHPMyWoDwBa3e8CW5hop8sb2b9FOwEJMR
LSijTi5l/K 3oQDjNJbCWfjUG8ygjYUiJ4ae1Zl 5rcYkvsg26 B0PTax8zX L83
4QIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQCG5lroJwys NNrBAh99TuCNPphZmV 
QDyJh9XOTI49GPzZvuarETeN8gwKFCvAqIfrL3rSYo IrFBdKZkE79MRlZxNTNy8
rfOVdp20sALKTXtGEPLzyyRNwaON/sp4HOpu43DL4mPd5esS0vhKpdsMBoStIlPE
6Lvzne3Bl1YgaRj4k4jlwBWkkUMmVpYozUCRTKlFiayUw8l/2In5 ShydqSsJhP2
FUmrzQLjNtdHkof6t2W1RWD5YeTcAmzcSS8sBW5/DaHFD1htwS97Sfe1zuzEtbeg
kJqrGCBj312PV3InMR0B82uKlvn3nMNGZ0Yci35twCR0It8DOz6TGSOq
-----END CERTIFICATE-----

 

4 设置为默认站点

回到宝塔“网站管理”,如下图,将上面建立的这个站点设置为默认站点,提交:

【重要安全】解决宝塔面板 https 串站问题,保护好源站 IP

5 校验配置结果

至此,设置全部结束,访问 https://你服务器 IP,如果浏览器提示下图这样或者显示“403 Forbidden”,那么恭喜你,漏洞已被堵上了!如果能访问到你网站,那么也“恭喜你”,你中这漏洞了~

【重要安全】解决宝塔面板 https 串站问题,保护好源站 IP

6 总结

整个过程,懂了原理就容易了,建立一个虚假域名默认站点,对应的自签一个虚假域名证书,OVER。

7 相关参考

用 CDN 隐藏网站真实 IP 就万无一失了?一个蹊跷的网站正泄露你的站点 IP | 西枫里
宝塔面板 https 默认站点的处理办法 – Linux 面板 – 宝塔面板论坛
宝塔面板设置默认站点以及自签证书 – 预防使用 cdn 后泄露源站 IP – 大鸟博客

给TA打赏
共{{data.count}}人
人已打赏
wordpress

WordPress如何用代码自动给文章标签(关键词)添加该标签的内部链接

2022-1-13 23:10:34

wordpressWordpress主题

WordPress主题Puock1.4高颜值自适应博客主题,支持白天与黑夜模式

2022-1-15 18:11:09

重要说明

本站资源大多来自网络,如有侵犯你的权益请联系管理员 黑马资源网  或给邮箱发送邮件gx-901225@foxmail.com 我们会第一时间进行审核删除。 站内资源为网友个人学习或测试研究使用,未经原版权作者许可,禁止用于任何商业途径!请在下载24小时内删除!


如果你遇到支付完成,找不到下载链接,或者不能下载,或者解压失败,先不要忙,加博主的QQ:947757464 (博主有可能有事情或者在睡觉不能及时的回复您,QQ留言后,请耐心等待即可!)

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
搜索