使用寶塔控制面板時(shí)，即使已經(jīng)套用了 CDN，仍有幾處常見配置會(huì)把源站真實(shí) IP 暴露給外部掃描器（Censys、Shodan 等）。歸納如下：

風(fēng)險(xiǎn)點(diǎn)

1. 設(shè)置默認(rèn)站點(diǎn)

1.1產(chǎn)生原因

IP 直接訪問時(shí)，Nginx 會(huì)把請(qǐng)求落到“第一個(gè)”站點(diǎn)，從而返回該站點(diǎn)的 SSL 證書（含域名），再結(jié)合證書即可反查到源 IP。

1.2快速檢查方法

瀏覽器直接訪問 https://源站IP，看證書里的 Common Name 是否為你的域名。

1.3規(guī)避/修復(fù)辦法

在寶塔新建一個(gè)空白站點(diǎn)并設(shè)為 默認(rèn)站點(diǎn)或者取消默認(rèn)站點(diǎn)。

2. 寶塔面板本身暴露

2.1產(chǎn)生原因

寶塔默認(rèn)監(jiān)聽 8888/7800 端口，且部分版本默認(rèn)證書 CN 為面板域名，可被掃描器關(guān)聯(lián)到源 IP。

2.2快速檢查方法

https://源站IP:8888 看是否能打開寶塔登錄頁(yè)。

2.3修復(fù)方法

修改寶塔面板默認(rèn)端口，在“面板設(shè)置”里綁定獨(dú)立域名并開啟面板 自簽SSL；

3. 郵件、接口主動(dòng)外發(fā)

3.1產(chǎn)生原因

站點(diǎn)發(fā)信、API 回調(diào)、DNS 解析記錄等，都可能把源 IP 直接帶出去。

3.2快速檢查方法

查看郵件源碼、DNS 歷史解析記錄。

3.3修復(fù)方法

使用第三方郵件網(wǎng)關(guān)或 SMTP 中繼。

4. 證書透明日志（CT）

4.1產(chǎn)生原因

申請(qǐng)/續(xù)簽 Let’s Encrypt 等證書時(shí)，會(huì)把域名與源 IP 記錄到 CT 日志，被 Censys 抓取。

4.2快速檢查方法

在 https://crt.sh 或 censys.io 搜域名。

4.3修復(fù)方法

證書申請(qǐng)使用DNS驗(yàn)證方式，或采用雙證書策略（CDN 用公開證書，源站用自簽）。

5. 未屏蔽掃描器 IP/UA

5.1產(chǎn)生原因

Censys、Shodan 等會(huì)定期全網(wǎng)掃描 443/80 端口，收集證書與 banner。

5.2快速檢查方法

訪問日志里出現(xiàn) CensysInspect、shodan.io 等 UA。

5.3修復(fù)方法

利用防火墻屏蔽 UA包含censys、Shodan