Apache 惡意域名綁定的解決辦法近日接觸了一款建站集成軟件包XAMPP （Apache MySQL PHP PERL）。這個軟件包原來的名字是LAMPP ，但是為了避免誤解，最新的幾個版本就改名為

Apache 惡意域名綁定的解決辦法

近日接觸了一款建站集成軟件包XAMPP （Apache MySQL PHP PERL）。這個軟件包原來的名字是LAMPP ，但是為了避免誤解，最新的幾個版本就改名為 XAMPP 了。它可以在Windows 、Linux 、Solaris 三種操作系統(tǒng)下安裝使用，支持多語言：英文、簡體中文、繁體中文、韓文、俄文、日文等。

我所試驗的環(huán)境是RedHat5，安裝過程很簡單，首先解壓軟件包。一般我喜歡放在/opt目錄下，因為/opt目錄通常是用來放應用和軟件包的。選擇好路徑后指定解壓目錄：

tar zxvf xampp-linux-1.7.7.tar.gz /opt

解壓完成后，xampp 會在/opt下生成lampp 目錄，通常該目錄的路徑為：/opt/lampp，直接運行以下命令對XAMPP 軟件包進行初始化安裝。 /opt/lampp/lampp start

Starting XAMPP for Linux 1.7.7...

XAMPP: Starting Apache with SSL (and PHP5)...

XAMPP: Starting MySQL...

XAMPP: Starting ProFTPD...

XAMPP for Linux started.

XAMPP 提示成功啟動，在瀏覽器中輸入http://ip，如果打開以下界面說明XAMPP 安裝成功：

該頁面默認的URL 路徑為：http://ip/xampp/splash.php

既然有中文，我們當然就選中文咯，點擊進入XAMPP 的配置界面：

在這個配置頁面中，我們可以通過訪問狀態(tài)選項來查看所有軟件包中程序的狀態(tài)信息：

在這個配置頁面中，我們可以通過訪問phpinfo()來查看所有apache 與php 整合的信息： http://ip/xampp/phpinfo.php

此軟件包還整合了phpMyAdmin 數(shù)據(jù)庫管理工具，地址為：

其他功能用處不大，我就不詳細說明了，主要記住以上兩個工具的訪問地址即可。軟件安裝完成后，默認狀態(tài)下存在著較大的安全隱患。

1、XAMPP 頁面可以被網(wǎng)絡中的任何人訪問，該頁面未使用任何加密和驗證過程，當XAMPP 程序安裝在互聯(lián)網(wǎng)服務器中，任何人都可以通過該地址訪問XAMPP 信息，存在安全隱患。

2、phpMyAdmin 的用戶未設置密碼，phpMyAdmin 在MySQL 安裝時缺省沒有設置密碼，為了避免觸發(fā)任何安全問題，在軟件包確定使用前，應對數(shù)據(jù)庫所有帳戶進行密碼設置。

3、在XAMPP 安裝完成時，會默認安裝ProFTPD 工具，此FTP 帳戶默認密碼是lampp ，在軟件包確定使用前，應對FTP 帳戶的密碼進行修改。

4、刪除或修改敏感的文件。在XAMPP 安裝時，集成了兩個工具， phpinfo()和 phpMyAdmin ，當服務器暴露在互聯(lián)網(wǎng)時，任何人都可以通過訪問這兩個工具獲取服務器的詳細信息，若MySQL 未修改初始密碼，非法用戶就可以通過phpMyAdmin 對數(shù)據(jù)庫進行修改、刪除操作。因此，在服務器上線前，應盡量刪除以上工具，如不能刪除，請盡量將文件、

文件夾名稱設置的較為隱蔽。

說了這么多與惡意域名綁定無關的事，也該言歸正傳了，XAMPP 的默認WEB 文檔存放路徑為：

/opt/lampp/htdocs

在使用http://ip訪問該網(wǎng)站時會出現(xiàn)XAMPP 的默認歡迎頁面，也就是剛才出現(xiàn)的那個頁面，下面就用這個頁面來當作真正做好的網(wǎng)站首頁進行測試：

我要實現(xiàn)的功能是www.a.com www.c.com 能夠訪問該頁面；使用網(wǎng)站IP 地址和其他域名均不能訪問該網(wǎng)站。要實現(xiàn)自定義域名能夠順利訪問指定的網(wǎng)站，需要在本機的hosts 中添加記錄。 C:WindowsSystem32driversetchosts

10.154.0.224 www.a.com

10.154.0.224 www.b.com

10.154.0.224 www.c.com

10.154.0.224 www.d.com

10.154.0.224 www.e.com

10.154.0.224是我安裝XAMPP 軟件集成包的LINUX 服務器，修改完成后，我們使用IE 瀏覽器使用這幾個域名訪問下試試看，如果配置無誤，應該都可以打開XAMPP 的主頁面。至此我們的準備工作就完成了。

接下來開始配置apache ，首先禁止使用IP 地址訪問歡迎頁面，打開apache 的配置文件 /opt/lampp/etc/httpd.conf

在該文件結尾加上以下內(nèi)容：

NameVirtualHost 10.154.0.224:80 //聲明虛擬主機監(jiān)聽端口為80

ServerName 10.154.0.224

//創(chuàng)建10.154.0.224的虛擬主機 //虛擬主機名稱，當用戶使用10.154.0.224 訪問該站點時，將執(zhí)行ServerName 相同的 虛擬主機配置。 //設定一個區(qū)域，當用戶使用10.154.0.224 訪問站點時，執(zhí)行下列區(qū)域內(nèi)的配置 //拒絕來自任何地址的訪問 Order Allow,Deny

Deny from all

完成以上配置后，我們用http://ip訪問網(wǎng)站主頁面時會提示沒有權限訪問目錄。 Forbidden

You don't have permission to access / on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request

根據(jù)上面對apache 配置文件httpd.conf 的修改，apache 禁止了所有訪問該網(wǎng)站的方式，也就是說，任何以IP 或域名的方式均無法訪問該站點了。如果不添加例外虛擬主機，所有域名將無法與這臺WEB Server綁定。

為了讓www.a.com www.c.com 兩個域名可以訪問該網(wǎng)站，我們需要在httpd.conf 中添加例外的虛擬主機，具體如下：

ServerAdmin wangcheng@bjca.org

DocumentRoot /opt/lampp/htdocs

ServerName www.a.com

ServerAlias www.a.com www.c.com a.com w.a.com ww.a.com

AllowOverride All

Order allow,deny

Allow from all

Options -Indexes

需要注意的是，如果測試機無法訪問互聯(lián)網(wǎng)，就無法解析域名地址。配置文件修改后需要對apache 進行重啟操作，apache 在重啟時需要檢測設置的虛擬主機域名是否可以解析，如不能解析，程序也將無法啟動。解決辦法與Windows 相同，使用hosts 文件新建自定義域名。Hosts 文件在：

/etc/hosts

添加解析地址后，我們使用IE 訪問www.a.com ，如果出現(xiàn)主頁的頁面，說明配置成功了，根據(jù)添加www.a.com 的方法繼續(xù)添加www.c.com

ServerAdmin wangcheng@bjca.org

DocumentRoot /opt/lampp/htdocs

ServerName www.c.com

ServerAlias www.c.com c.com w.c.com ww.c.com

AllowOverride All

Order allow,deny

Allow from all

Options -Indexes

重啟apache 后，使用www.c.com 訪問主頁的頁面，如果www.a.com 成功，那么www.c.com 基本也不會有問題。www.a.com 和www.c.com 訪問正常后，使用www.b.com 和www.d.com 對網(wǎng)站進行訪問測試，如果出現(xiàn)類似下列信息頁面，說明配置成功。 Forbidden

You don't have permission to access / on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request

最后介紹一下ServerAlias 選項，此選項是Server 別名，用戶通過訪問別名也可以訪問到該主機，所以，ServerAlias 選項可以添加多個域名，將所有可以綁定該主機的域名添加到別名中，可以減少添加ServerName 虛擬主機的工作量，但這樣做可能存在問題。

根據(jù)以上的配置，我們的站點基本可以阻止IP 或惡意域名的綁定了。