宝塔面板屏蔽 Censys,防止源站 IP 泄露

已于 2024-08-15 22:58:37 修改
阅读量561 收藏 17
点赞数 5
文章标签: tcp/ip 数据库 网络协议 宝塔面板 Censys 防火墙
于 2024-08-15 22:54:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010066597/article/details/141233539
版权

Censys 搜索引擎很强大。Censys 每天都会扫描 IPv4 地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。

在 IP 前加上 https 访问时,Nginx 会自动返回该网站的 https 证书,从而暴露相关域名信息。哪怕是套了 CDN 也还是会被扫到。Censys 还会扫描端口,例如 80、8000、8080、443、4433。

所以为了防止,自己的网站被攻击我们需要屏蔽掉 Censys 的扫描。据我所知有四种办法,分部是屏蔽 Censys 的 UA、屏蔽 Censys 的 IP 段、建立虚假网站以及使用 Nginx 的特性。四种方法,选其一即可。当然如果你觉得不够安全,可以都使用。

系统: ubuntu22.04

nginx: 1.25.5

1.屏蔽 Censys 的 IP 段

Censys 的 IP 段在其官网有。我的机子使用的是 Ubuntu 系统,带有 UFW 防火墙,按照下面的命令建立规则即可。

Censys IP段 :https://support.censys.io/hc/en-us/articles/360043177092-Opt-Out-of-Data-Collection

复制以下命令到ssh终端运行:

sudo ufw deny from 162.142.125.0/24
sudo ufw deny from 167.94.138.0/24
sudo ufw deny from 167.94.145.0/24
sudo ufw deny from 167.94.146.0/24
sudo ufw deny from 167.248.133.0/24
sudo ufw deny from 199.45.154.0/24
sudo ufw deny from 199.45.155.0/24
sudo ufw deny from 206.168.34.0/24
sudo ufw deny from 2602:80d:1000:b0cc:e::/80
sudo ufw deny from 2620:96:e000:b0cc:e::/80
sudo ufw deny from 2602:80d:1003::/112
sudo ufw deny from 2602:80d:1004::/112

重载ufw生效,重启nginx

sudo ufw reload     #重载ufw

ufw status          # 查看状态

sudo systemctl reload nginx # 重启nginx

2.屏蔽 Censys 的 UA

如果你使用了 CDN ,那么就要在 CDN 中屏蔽掉 Censys 扫描使用的 UA。

Censys 扫描使用的 UA 如下:

Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

例如cloudflare cdn

安全性–WAF–自定义规则

字段:用户代理

运算符: 等于

值:Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)

3.使用 Nginx 新特性(推荐)

Nginx 1.19.4 版本以上,新增了一个特性,ssl_reject_handshake 在 IP 访问时会终止 TLS 握手,也就不会暴露域名了。

例如宝塔面板

在 /www/server/panel/vhost/nginx 目录找到 0.default.conf 删除原有代码,添加如下代码:

server {
    listen 443 ssl default_server;
    # 如果有 IPv6 地址的需要,则加入下面这行。
    # listen [::]:443 ssl default_server;
    ssl_reject_handshake on;
}

重启nginx生效::

/etc/init.d/nginx restart

4.建立虚假网站

  • 网站是一个纯静态网站,网站的文件,除了 .htaccess 和 .user.ini 这两个文件,其他的全删除。
  • 添加自签的空白 SSL 证书,强制 HTTPS,设置为默认网站

1.生成自签名证书(一路回车键)

mkdir -p /opt/signcert && cd /opt/signcert
openssl req -x509 -newkey rsa:4096 -keyout OpenLiteSpeed-key.pem -out OpenLiteSpeed-cert.pem -nodes -days 365  # 一路回车

2.替换证书

cat /opt/signcert/OpenLiteSpeed-cert.pem > /www/server/panel/vhost/cert/ip.com/fullchain.pem
cat /opt/signcert/OpenLiteSpeed-key.pem > /www/server/panel/vhost/cert/ip.com/privkey.pem
/etc/init.d/nginx restart

3.下一步到假站点保存一下ssl证书使其生效

设置假站点为默认站点

在这里插入图片描述

完结!

阿甘知识库
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
宝塔linux 屏蔽ip,宝塔屏蔽国外IP保护网站安全
weixin_31256263的博客
05-06 1771
前言自己做了个论坛,论坛里面发了一个cc工具,有人用我发的工具打我论坛,都是国外流量,很强的,基本秒杀我,当时没有做策略服务器硬抗,只是变慢了。最后换到appnode控制面板,因为我记得这个控制面板免费版还不错有个策略防护挺好的。换到APPnode之后,反而被打到500。然后通过百度找到这篇文章《一次很奇葩的 Nginx 500 Internal Server Error》然后查看appnode原...
基于宝塔面板的自助建站程序内置几十种站
03-18
1.在宝塔面板中创建一个网站,上传建站系统的源码进行搭建。 2.搭建完成后把autosite.php文件剪切在指定目录。 3.修改一下宝塔面板的配置文件 4.重启一下服务器源码不要在官方下载,直接使用我这个链接,免授权的。
宝塔禁止直接用IP访问与防止SSL泄露IP
漫游游的博客
06-12 267
2、禁止直接访问IP,将访问IP的请求,不管是HTTP还是HTTPS全部转错误页 返回状态码444 ERR_EMPTY_RESPONSE。NGINX下用IP访问HTTPS,会自动匹配第一个站点的SSL证书给IP使用,因此容易造成IP泄露。点击刚刚添加的网站,网站名 ,添加一张cloudFlare的公共证书。宝塔默认没禁止直接通过IP访问,因此很容易被扫描器扫描到。1、给IP配置上一张带错误域名的证书,防止泄露你自己的域名。3.给IP配置上一张带错误域名的证书(给默认站点设置证书)
网站服务器怎么屏蔽ip段,宝塔面板如何屏蔽禁止某个IP(IP段)访问
weixin_39574943的博客
08-03 3085
最近查阅日志发现网站被不明人士恶意刷PV,另外还有很多垃圾搜索引擎蜘蛛疯狂的抓页面,令人很烦,查阅了一下,宝塔上面是可以屏蔽掉的。今天我们分享下如何手动禁止掉某个 ip 的访问,这个问题挺简单的也非常实用,用第一、放行端口既然说屏蔽某些 IP 访问可以实现,那么我们先看下基础的任何放行端口吧:在左侧菜单安全点开后,可以看到上图所示,根据我们需要可以输入需要放行的端口,以及备注说明。其实备注说明还是...
宝塔面板隐藏网站服务器真实IP
withkai44的博客
10-26 3346
如果之前已经暴露在那些扫ip的网站只能更换公网ip,因为那些网站都是有历史记录的,如果你的网站没应用CDN那么本教程对你是没用的,因为你本身就是暴露ip在互联网上的,建议各位站长都套CDN然后再加个假站点隐藏ip,江湖险恶,安全要紧。我们用来保护网站不受攻击的方式最佳的就是使用CDN,CDN加速可以隐藏源站IP让网站不被有心之人有机可乘,可是cdn并不能完全隐藏我们的网站源IP,原因是Nginx的一个漏洞,可以从你的ssl证书查到网站源IP,有一个坑爹的网站。注意事项:一定不要把自己的站点设置为默认站点。
宝塔面板Linux工具箱IP设置,宝塔Linux工具箱
weixin_42515906的博客
05-03 1364
Linux工具箱提供服务器的一些系统工具、主要有配置DNS、Swap交换分区、时区设置、系统密码、IP设置。DNS设置修改当前服务器的DNS服务器,保存DNS前,请测试当前DNS是否能够正常使用。注意事项:若DNS设置错误,会导致您的服务器无法解析域名,即无法通过服务器访问域名!请在保存之前先点击测试按钮以测试您设置的DNS是否有效!Swap交换分区Swap交互分区是Linux系统意义下的虚拟内存...
服务器屏蔽ip地址访问站点,宝塔控制面板怎么屏蔽IP地址访问网站
weixin_35078549的博客
07-29 1452
今天查看服务器状态,不小心误点了服务器的IP地址,然后居然能打开,,,OMG,怎么会这样,这怎么行呢?所以得修改以下配置文件,不让IP地址访问,至于为什么不让IP访问,有很多解释,其中最重要的就是防止恶意解析。什么是恶意解析一般情况下,要使域名能访问到网站需要两步:第一步,将域名解析到网站所在的主机。第二步,在web服务器中将域名与相应的网站绑定。但是,如果通过主机IP能直接访问某网站,那么把域名...
宝塔面板不用域名IP+端口建立多个站
知识和信息将使你获得自由
11-20 1695
2、然后在conf\vhost文件夹中复制一份其它用宝塔先前建立的其它站的conf文件。4、这样建立的IP加端口的站,宝塔面板中不显示,但可以使用。3、修改复制的文件名,以及文件中文档根目录,以及站点别名。1、先修改httpd.conf文件。在监听处添加IP:端口。
宝塔面板服务器ip地址修改_基于vps服务器使用宝塔面板搭建Typecho博客网站
weixin_39803022的博客
11-22 1639
Typecho是一款基于PHP的国内开源博客系统,用户可以使用Typecho快速搭建个人博客。下面进入博客搭建:准备:vps服务器一台Typecho官网:http://typecho.org主要步骤:购买服务器、安装宝塔面板提前备案域名,或者直接使用服务器IP地址访问安装和配置Typecho一、配置宝塔面板首先在服务器安装宝塔面板,我使用的是阿里云轻量级服务器,安装系统时选择了宝塔镜像。附宝塔面板...
【服务器】服务器安装宝塔面板
热门推荐
朝花夕拾
01-24 1万+
该博文介绍了在服务器上安装宝塔面板的步骤和方法。通过详细的教程,读者可以轻松地配置和管理服务器,实现对各种服务的便捷控制。宝塔面板作为一种服务器管理工具,提供了直观、简便的界面,使用户能够快速完成配置任务,提高工作效率。文章结合图文并茂,为读者呈现了安装宝塔面板的全过程,适合初学者和有一定经验的用户参考。
2023 宝塔面板第三方云端源码1.9版本
10-20
网站后台管理可一键同步宝塔官方的插件列表与增量更新插件包,还有云端使用记录、IP黑白名单、操作日志、定时任务等功能。 本项目自带的宝塔安装包和更新包是8.0.x最新版,已修改适配此第三方云端,并且全开源,无...
phpmyadmin在宝塔面板里进不去的解决方案
10-15
宝塔面板中,phpMyAdmin是一个非常流行的开源工具,它用于管理MySQL数据库。但是有时用户在宝塔面板安装phpMyAdmin后,可能会遇到无法访问数据库的问题。针对这一情况,本文将介绍三种常见的解决方案,帮助大家...
PHP节节云-宝塔主机面板 v1.0.13 源码下载
10-24
节节云-宝塔主机面板包含了批量建站,权限分配,站点同步,多台服务器多站点统一化管理,一键登录宝塔面板等功能。 应用类型:宝塔站点(主机管理) 应用描述:支持Windows/Linux系统,同步宝塔站点和管理站点(包含...
宝塔防火墙可导入的屏蔽所有国外的规则
03-05
宝塔防火墙屏蔽所有国外的规则,一个个加,手都给我整酸了
前端面试——UDP、TCP、HTTP、DNS详解
警警的博客
08-12 999
UDP、TCP、HTTP、DNS详解
绕过CDN查看真实IP
黑战士的博客
08-13 1057
CDN主要用于加速访问,在各个地区访问时,以最接近的地区的服务器提供访问服务,而不是从原始服务器获取,从而大大减少延迟。拥有CDN可以减少源站压力和隐藏服务器真实IP
Windows和Linux系统查看设备IP的方法
最新发布
chen_znn的博客
08-16 148
本文记录了在Windows和Linux系统查看设备IP的方法
子网掩码是什么以及子网掩码相关计算
m0_73537205的博客
08-14 1033
又称网络掩码 (Netmask),告知主机或路由设备,地址的哪一部分是网络号,包括子网的网络号部分,哪一部分是主机号部分。子网掩码使用与IP地址相同的编址格式,即32 bit—4个8位组的32位长格式。在子网掩码中,网络部分和子网络部分对应的位全为“1”,主机部分对应的位全为“0”网络掩码一般与IP地址结合使用,其中值为1的比特对应IP地址中的网络位;值为0的比特对应IP地址中的主机位,以此来辅助我们识别一个IP地址中的网络位与主机位。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值