ハッカーがドメインを作成し、DNS を構成してサーバーの IP アドレスを指すようにしていることに気付きました。
Ubuntu で apache2.x を使用しています。Apache の /etc/apache2/sites-available ディレクトリに「デフォルト」ファイルがあり、ハッカーのドメインが「デフォルト」の Apache 構成ファイルを使用して、ドメイン内の Web コンテンツを表示しているようです。
どうすればこれを防ぐことができますか? 例として「デフォルト」のApache構成ファイルを投稿できますか?
指定された ip とポートを介して apache に入ってくる未知のドメインは、最初の仮想ホスト、つまり 000-default ファイルに転送されます。最善の策は、000-default ホストが 400 または 500 エラー (またはドメインが属していないという明示的なメッセージ) を返すようにし、サイトごとに明示的な仮想ホストを使用することです。
+1 ジェレミーの答え:リッスンしている各 IP アドレスのデフォルト (最初) の仮想ホストを作成し、404 のような役に立たないものや、「これは仮想サーバーです」としか言わないページを返します。
Web サーバーが一致しない「ホスト」名 (生の IP アドレスを含む) で実際の Web サイトを提供できるようにすると、最大 2 つの特定の攻撃を受ける可能性があります。
DNS リバインディング攻撃により、実際の Web サイトへのクロスサイト スクリプティングが発生します。これは、ユーザー アクセス要素 (ログイン、Cookie、非公開と思われるイントラネット アプリなど) を持つサイトに影響します。
「検索ハイジャック」。これはすべてのサイトに影響します (完全に静的なサイトも含む)。これがあなたに起こっていることかもしれません。独自のドメイン名をサーバーに向けることで、検索エンジンに本物のドメイン名と偽のドメイン名の両方を同じサイトの重複として認識させることができます. SEO テクニックを使用することで、偽のアドレスをより人気があるように見せることができます。その時点で、検索エンジンはそれをサイトの正規のアドレスと見なし、あなたのものではなく、そのアドレスだけにリンクし始めます。
ほとんどの Web サーバーは、アクセスしているホスト名や IP アドレスに関係なく、すべての訪問者に Web サイトを提供するようにデフォルトで構成されています。これは危険な間違いです。すべての実際のライブ サイトでは、'Host' ヘッダーが実際の正規のホスト名と一致することを要求するように構成します。