<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr">On Fri, Aug 31, 2018, 19:59 Micah Lee <<a href="mailto:micah@micahflee.com">micah@micahflee.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 08/30/18 08:33, Jason S. Evans wrote:<br>
> Hi all,<br>
> <br>
> How can I best audit an onion service to make sure that my IP can not<br>
> easily be compromised? Is there a list of things to do to try to hack my<br>
> own site to try to find the IP?<br>
<br>
In addition to what everyone else said, there's also a pretty awesome<br>
tool called OnionScan which will scan http onion services looking for<br>
leaks -- IP address, but also things like exif metadata in jpegs it finds.<br>
<br>
I used this on the onion site version of <a href="https://onionshare.org" rel="noreferrer noreferrer" target="_blank">https://onionshare.org</a> and it<br>
discovered that I had apache2's mod_status enabled which was leaking the<br>
real IP address of the server.<br>
<br>
Here's the website:<br>
<a href="https://onionscan.org/" rel="noreferrer noreferrer" target="_blank">https://onionscan.org/</a><br>
<br>
Here's the code, along with build instructions (it's written in golang):<br>
<a href="https://github.com/s-rah/onionscan" rel="noreferrer noreferrer" target="_blank">https://github.com/s-rah/onionscan</a></blockquote></div></div><div dir="auto"><br></div><div dir="auto">sweet!</div><div dir="auto"><br></div><div dir="auto">I just finished to port OnionScan for FreeBSD, and should be in the tree soon; <a href="https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=231508">https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=231508</a></div><div dir="auto"><br></div><div dir="auto"><br></div></div>