宝塔面板防止恶意解析域名方法
2026-05-26 16:35:16
0浏览
收藏
宝塔面板默认未设防的“默认站点”机制会让所有恶意泛解析域名或伪造Host头的请求悄然落入你的首个网站,轻则暴露后台路径、被挂黑页,重则沦为SEO垃圾站;本文详解如何通过手动创建严格空目录的*通配站点并返回403,再结合Nginx全局map映射与server块顶层if($invalid_host) { return 444; }实现双重防护——既拦截非法域名访问,又杜绝Host头欺骗,同时强调配置语法校验、Windows路径陷阱及真实生效验证等关键细节,帮你真正堵死服务器暴露面。

宝塔默认站点不设 * 就等于没设防
宝塔只要没显式配置 * 站点,就会自动启用内置默认站——它指向你第一个创建的网站,而不是空页面或 403。这意味着所有泛解析流量(比如 xxx.你的IP)都会悄悄落到那个网站上。如果那是 WordPress,/wp-login.php、/robots.txt 全部暴露;如果是静态站,可能被挂黑页或刷 SEO。
删掉面板里显示的“默认站点”也不行:Nginx 配置里还留着 server_name _; 或隐式通配逻辑,重启后自动恢复。
- 必须手动添加一个域名填
*的新站点(注意:只能是单个星号,不能带空格或其它字符) - 根目录选一个**完全为空**的路径,例如
/www/wwwroot/default_403,确保该目录下连.htaccess或隐藏文件都没有 - 提交后立刻进该站点「配置文件」,找到
location /块,在里面加一行:return 403; - 保存并点击「重载 Nginx 配置」,不是「保存」就完事
Nginx 层 Host 白名单才是真防线
只靠 * 站点还不够。攻击者可以用 curl -H "Host: evil.com" http://你的IP 绕过域名匹配,直接把恶意 Host 头打进来。这时候得在 Nginx 全局层做校验。
编辑主配置:/www/server/nginx/conf/nginx.conf,在 http 块末尾加:
map $host $invalid_host {
default 1;
yourdomain.com 0;
www.yourdomain.com 0;
}然后在**每个要保护的网站的 server 块最顶部**(一定要在 root 和所有 location 之前)加:
if ($invalid_host) {
return 444;
}444是 Nginx 特有状态码,直接断连,不发任何响应包,比 403 更隐蔽map必须写在http块里,写进server或location会报错:"map" directive is not allowed here- 别用
$http_host,它可能为空或含非法字符;$host是 Nginx 解析后的标准域名,更可靠
别把拦截规则塞进 location / 里
在「网站 → 设置 → 配置文件」里改,最容易犯的错就是把 if 写在 location / 块内部。这样规则只对 / 路径生效,而 /api/v1/login、/static/logo.png 这些子路径全逃逸。
- 所有 Host 拦截逻辑必须放在
server块最上方,紧贴listen和server_name后面 - 确认你加的是
return 444;,不是return 404;——后者仍会返回 HTML 内容,可能泄露服务器信息 - 改完配置必须执行
nginx -t校验语法,再重载,否则可能整站 502
Windows 宝塔用户要额外注意工作目录
Windows 下宝塔有时会把 Nginx 工作目录(Prefix)错误指向 C:\BtSoft\panel,导致配置加载失败,访问 IP 仍显示 “Welcome to nginx!”。
- 先用 CMD 执行:
taskkill /f /im nginx.exe彻底杀掉残留进程 - 手动补全 temp 目录:
mkdir C:\BtSoft\nginx\temp\client_body_temp等三个子目录 - 启动时强制指定路径:
"C:\BtSoft\nginx\nginx.exe" -p "C:\BtSoft\nginx\" -c "C:\BtSoft\nginx\conf\nginx.conf" -t - 验证是否生效:用浏览器直连 IP,看是否返回 403 或连接被拒绝(444)
真正起作用的永远是 Nginx 实际加载的配置,不是面板界面上看起来“已保存”的那几行。每次修改后,nginx -t 和真实请求验证缺一不可。
以上就是《宝塔面板防止恶意解析域名方法》的详细内容,更多关于的资料请关注golang学习网公众号!
如何辨别数组sort算法在不同引擎中的实现方式
- 上一篇
- 如何辨别数组sort算法在不同引擎中的实现方式
- 下一篇
- PHP8.2启用GD库图文教程
查看更多
最新文章
-
- 文章 · php教程 | 1星期前 | 面向对象 · PHP · PHP8.4 · Property Hooks · 代码重构 · PHP教程 Getter PHP 8.4 Property Hooks setter
- PHP 8.4 Property Hooks 实战:把 getter/setter 收回到属性声明里
- 464浏览 收藏
查看更多
课程推荐
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
查看更多
AI推荐
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 4147次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 3855次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 3838次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 4018次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 3989次使用
查看更多
相关文章
-
- 宝塔配置Ruby环境:RVM+Nginx反代教程
- 2026-05-29 501浏览
-
- unset函数作用范围详解
- 2026-05-29 501浏览
-
- VS Code配置Xdebug教程:PHP调试技巧全解析
- 2026-05-13 501浏览
-
- PHPEnv安装PhpMyAdmin教程详解
- 2026-05-07 501浏览
-
- TelegramBotWebApp数据验证技巧
- 2026-05-06 501浏览

