+ 1 Ответ Джереми: создайте (первый) виртуальный хост по умолчанию для каждого прослушиваемого IP-адреса, верните что-то бесполезное, например 404 или страницу, где ничего не сказано, кроме «это виртуальный сервер».
Разрешение вашему веб-серверу обслуживать настоящий веб-сайт с несоответствующим именем хоста (включая необработанный IP-адрес) открывает вам две конкретные атаки:
Перепривязка DNS атак, приводящих к межсайтовому скриптингу на вашем реальном веб-сайте.
Это влияет на сайты с элементом доступа пользователя (например, вход в систему, файлы cookie, предположительно частные приложения для интрасети).
Поиск-угон. Это влияет на все сайты (даже полностью статичные). Это может быть то, что происходит с вами. Направляя свое собственное доменное имя на ваш сервер, они могут заставить поисковые системы видеть и реальное доменное имя, и их поддельное как дубликаты для одного и того же сайта. Используя методы SEO, они могут затем попытаться сделать свой поддельный адрес более популярным, после чего поисковые системы увидят его в качестве канонического адреса для сайта и начнут ссылаться на него исключительно вместо вашего.
Большинство веб-серверов по умолчанию настроены на обслуживание веб-сайта для всех желающих, независимо от того, через какое имя хоста или IP-адрес они обращаются к нему. Это опасная ошибка. Для всех реальных живых сайтов настройте его так, чтобы заголовок «Host» соответствовал вашему реальному каноническому имени хоста.