Раскрытие IP сайта .onion в сети TOR

Если у вас Apache сервер, то крайне важно знать следующее:
В настроенном по умолчанию Apache включена функция под названием mod_status, позволяющая отображать статистику сайта на специальной странице /server-status. К примеру, на странице доступна информация о времени работы, потреблении ресурсов, количестве включенных виртуальных хостов, а также активных HTTP-запросах. В целях безопасности доступ к /server-status разрешен лишь через localhost. Демон Tor также работает через localhost. В результате любой желающий может получить доступ к /server-status и раскрыть важные данные. К примеру если на сервере кроме onion сайта хостятся сайты на обычных доменах, обращаясь к *.onion/server-status интересующиеся граждане увидят url адреса этих сайтов и как следствие ваш реальный ip адрес.
Для устранения данной уязвимости достаточно отключить компонент mod_status, выполнив в командной строке сервера команду $ sudo a2dismod status

Добавить комментарий