“借刀殺人”一次惡意解析帶來的網站癱瘓！

叮叮叮~~~電話響起，一看是老鐵來電 直接接聽 “哥哥 我的網站打不開了！是不是服務器掛了？能幫我看看嗎？謝謝了！“我的回答當然是沒問題,于是要來IP 和登錄信息。

老鐵的網站屬于個人網站,多是一些圖片商品展示什么的。經過我的推薦放在了國內某VPS提供商上面，從外面找人配置的服務器和網站頁面，我幫忙做的備案實名認證啥的。

好了，檢查開始

瀏覽器輸入網址打不開，firebug檢查服務器沒有返回

telnet xxx.me 80端口不通
dig xxx.me 解析正常
ping xxx.me 正常
ssh 能正常登錄
ps 查看web 進程 存在
lsof -i:80 端口正常
telnet 內網ip 80端口正常
iptables 檢查發現無規則限制
telnet 公網80端口不通
重啟web服務，重復上述檢查效果一樣

過上面檢查發現問題出在公網IP這里 可是ping公網地址是正常的而且可以ssh登錄 說明IP本身沒問題，那就只剩下80端口了，可是內網地址80沒問題，也就是說問題出在公網IP的80端口

又測試了幾次公網的80端口，發現仍然不通，似乎被防火墻擋住了！于是拿起電話撥打XX VPS客服妹妹電話沒多久接通了：“你好,我是xxx賬號的用戶，我的公網ip地址xxx.xxx.xxx.xxx的80端口不通了能幫忙查一下嗎？”

客服妹妹很干脆：“好的，您稍等”.....音樂過后“您好,您的IP地址xxx為沒有備案的域名提供了正常的網站服務，按照XXX的X規定X要求對其80端口進行了封禁！” 

What？！沒有備案，不對啊，他的域名還是我幫忙弄得備案呢！然后我把已經備案的事情說出并把域名告訴客服妹子，得到的回復是：“您好,導致IP端口被封的不是這個域名,涉及的域名為xxx.com,請盡快對該域名進行備案.” 

說到這我就明白了，應該是被惡意解析了。但你們封端口之前怎么也得提醒一聲吧?！！！

打開配置文件,發現并沒有客服提到的那個域名，當然也沒做惡意解析的限制，電話跟老鐵確認一下這個的確不是他的域名,還詢問了一下他最近有什么不尋常的事情,他說最近有個新產品上市網站上貼了介紹而已。行了,事情到這里就清楚了 

這下簡單了，改吧，在web服務器配置文件里所有vhost前面加入一段配置，默認沒有匹配的域名就會跑到這個vhost上去。重啟web服務 確定直接用ip無法打開網頁了，又用工具掃了一下安全漏洞之后，跟客服妹子說了聲 并發了郵件，幾個小時以后網站恢復...

在2017年6月1日以后，各大IDC和提供商們對備案、實名制和漏洞都非常重視，一言不合就封你IP，甚至都不跟你說就直接干掉。

這樣似乎給了一些目的不純之人可乘之機，利用這個規則借助XX機構和IDC的手來干掉你的網站。管理者們似乎覺得直接針對受害者比去找破壞者來的更加有效-_-||| 。經常搞的網站運營者措手不及。

這里建議網站運營者們在建站的時候多注意一些安全的細節，也希望我們的網絡運營商在發現問題時、在處理前 能給我們一些提醒和修復時間,畢竟我們是消費者是你們的客戶，而你們是商人是服務提供者不是"協管"

下面貼上apache 和 nginx 防止惡意解析的配置

Apache
<VirtualHost *:80>
        DocumentRoot /data/vhost/error/
        ServerName 127.0.0.1
        <Directory /data/vhost/error/>
        Options None
        AllowOverride None
        Order deny,allow
        Deny from all
        </Directory>
        CustomLog /data/logs/null.log combined
</VirtualHost>

Nginx
server {
        listen 80 default;
        return 405;
       }