很多人都有NAS,然后一般会用域名+自定义端口(高端口号)暴露在公网上。其中一些服务有关键词,轻松就会被搜到。那岂不是相当于自己以为的黑暗森林其实是裸奔?
有没有什么办法避免?https可以吗?
简单搜了一下,结果非常多
甚至还有大哥用了默认口令,路由器后台我都进去了……
再比如这位特斯拉车主,结合地图信息及一点社会工程学,我们可以推断他是杭州西湖的一位茶商,主营"庄上茶叶店",再结合热心网友给老板的三张图好评,我们甚至可以看到他充电桩的确是特斯拉的 
15 个赞
不改默认的下场
1 个赞
fofa到底是怎么扫的
2 个赞
关闭所有端口,只开放反向代理端口。然后反向代理上加个账号密码验证?不知道 长亭雷池waf 能不能拦截这些扫描
2 个赞
不能防止,可以看我之前的帖子
2 个赞
改也没用,可以暴力枚举。有些服务比如jellyfin 压根没有fail2ban的机制
2 个赞
没有绝对安全的系统照进现实了
3 个赞
最简单的, 从0.0.0.0 枚举到 255.255.255.255 也就42亿
我就是举例
3 个赞
给他特斯拉升升级
1 个赞
这也太恐怖了
1 个赞
刚组了一个黑群,用的都是默认端口,咋办啊
仅开放隧道连接
使用带认证的反代
仅用ipv6地址
可以收集FOFA的IP,然后在主机上 屏蔽掉。
nginx反代,不暴露端口
1 个赞
我也是,怎么办啊
设置强登录密码不行么 ,例如128位以上的随机字符串
可怕,扫个clash压压惊
好像fofa用的国外ip扫的,我两个屏蔽国外ip的域名,返回的cloudflar的验证页面
我改成内网访问,用 Tailscale 做穿透,目前还没用工具扫端口
1 个赞
我的IP默认443/80就是个404,访问要么通过加端口号,要么通过子域名反代,fofa会扫我的每一个端口吗?
我都不敢去fofa上搜我的域名,怕被他收录