前兩天發現 Apache 的 Log 一堆 /phpmyadmin/、/myadmin/、/admin/ ... 之類的錯誤連結。顯然是有人在 Try 主機裡面安裝哪些 Web AP，看看是否有可趁之機。雖然主機內沒裝什麼，但被這樣子 Try，出現一堆錯誤 Log，看起來就很刺眼，所以弄個簡單有效的自動封鎖來擋掉這些個鼠輩。底下是這三個步驟：

1. 先把 Apache 加一個虛擬主機如下。記得要先建立 "/var/www/html/reject" 這個目錄。

   <VirtualHost *>
   DocumentRoot "/var/www/html/reject"
   
   Options -Indexes
   Order Allow,Deny
   Allow from All
   
   ErrorDocument 404 /index.php
   

此虛擬主機必須放在所有虛擬主機之前。才能讓所有沒有 Hostname (直接用 IP 連) 或者錯誤 Hostname 的 Request 都進到這裡來。如果原本沒有任何主機，那麼加了這個虛擬主機之後，接著要再加上原本站台的虛擬主機：

<VirtualHost *>
	ServerName "www.MySite.com.tw"   ### 所有用此網名連的 URL 都會到這裡來
</VirtualHost>

2. 再在目錄中建立一個亂連時的錯誤文件 index.php，當駭客亂 Try URL 而找不到時，就會導到這支 php 來。PHP 的內容如下：

也就是執行 iptables 把此 IP 給封掉，並且寄封信給 root。此 PHP 程式很簡單，也能輕易改成其它語言。

3. 設定 sudo 可以讓 apache runner 執行 iptables 指令，在 /etc/sudoers 檔案中加入底下兩行：

   Defaults:apache !requiretty
   apache ALL=NOPASSWD: /sbin/iptables -A INPUT -i eth0 -p tcp -j REJECT -s [0-9].[0-9].[0-9].[0-9]

好了！重新啟動 Apache 後就可以不必擔心再被亂 Try了。只要無聊人士用 IP 連一次主機任何 URL，他就被封鎖了。不過如果自己的站台是用 IP 連的，就不能使用此法。建議還是把自己的公開站用 Domain name 來存取會比較好，IP 很容易就會被列舉法攻擊。

同場加映：
一位剛交女友的年輕人問：「我自己架了個相簿，想要讓自己跟女朋友看就好了 (裡頭大概有噴血照)。但是她家是動態 IP，不能用 Allow from IP 這指令來限制只有她能看。有沒有什麼簡單方法，只讓她可以看就好了呢？」

是的！這年輕人有救了。超簡單的方法就在這裡。當你按照以上的方式設定好，任何用 IP 連就會被 ban 掉之後，請再加一個虛擬主機：

<VirtualHost *>
	ServerName "MySweetheart"
	DocumentRoot  請指到你安裝相簿的目錄
</VirtualHost>

請注意那個 MySweetheart，可以換成任何你想換的字，這是你跟女友間的通關密語，不可以給別人知道。

找一天幫女友的電腦改一下 hosts。用 Teamviewer 也行。
在 "C:\WINDOWS\system32\drivers\etc\hosts" 這個檔案裡面加一行：
xxx.xxx.xxx.xxx MySweetheart
那個 xxx 請換成是站台的真實 IP。
好了！以後請女友用 http://MySweetheart/ 來連相簿站台就可以了。全世界沒人可以連進去你的相簿。除非他用 MySweetheart 這個 Domain name 來連。當然你自己也是。這樣你們就隨時有一個只有你們自己知道的線上相簿，任何地方都能連，只要先加上 hosts 那行設定就行了。當然，如果不是自己的電腦，記得離開前要去掉那行。