Как предотвратить использование Apache хакерами -> Доступные сайты -> Файл по умолчанию

Неизвестные домены, которые входят в apache через указанный ip и порт, будут направлены на первый виртуальный хост, таким образом, файл 000-по умолчанию. Лучше всего сделать так, чтобы хост 000 по умолчанию возвращал ошибку 400 или 500 (или какое-то явное сообщение о том, что домен не принадлежит) и использовать явные виртуальные хосты для каждого из ваших сайтов.

+1 Ответ Джереми: сделайте виртуальный хост по умолчанию (первый) для каждого IP-адреса, который вы слушаете, возвращая что-то бесполезное, например, 404 или страницу, говорящую только «это виртуальный сервер».

Разрешение вашему веб-серверу обслуживать реальный веб-сайт с несовпадающим именем «хоста» (включая необработанный IP-адрес) открывает перед вами две конкретные атаки:

1. атаки с повторной привязкой DNS, ведущие к межсайтовому скриптингу на вашем реальном веб-сайте. Это влияет на сайты с элементом доступа пользователя (например, вход в систему, файлы cookie, предположительно частные приложения интрасети).

2. «Поиск-угон». Это касается всех сайтов (даже полностью статичных). Это может быть то, что происходит с вами. Указав свое собственное доменное имя на вашем сервере, они могут заставить поисковые системы рассматривать как настоящее, так и поддельное доменное имя как дубликаты для одного и того же сайта. Затем, используя методы SEO, они могут попытаться сделать свой поддельный адрес более популярным, после чего поисковые системы увидят его как канонический адрес сайта и начнут ссылаться исключительно на него, а не на ваш.

Большинство веб-серверов настроены по умолчанию на обслуживание веб-сайта для всех желающих, независимо от имени хоста или IP-адреса, через который они обращаются к нему. Это опасная ошибка. Для всех реальных живых сайтов настройте его так, чтобы заголовок «Host» соответствовал вашему реальному каноническому имени хоста.