PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : version ausgabe bei zb. bad request unterdrücken



MichlS
01.12.03, 15:57
tagchen leute,


eine frage beschäftigt mich .. ich würde gerne diese ausgabe unterdrücken :




<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>400 Bad Req
uest</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
Your browser sent a request that th
is server could not understand.<P>
Invalid URI in request echo on<P>
<HR>
<ADDRESS>
Apache/1.3.12 Server at xxxxxxx.org Port 80</ADDRESS>
</BODY></HTML>


Verbindung zu Host verloren.



diese kommt, wenn man zb. mit einer windows kiste cmd eingibt und dort "telnet www.SERVERADRESSE.at 80" und später "echo on" eintippt ..

das stellt in meinen augen ein security problem dar .. weil wenn man weiss welche apache version läuft kann man doch mit nen exploid ins system eindringen...

ich würde nun gern die apache version "unterdrücken"

ich habe zu test zwecken ein 400.htm (bad request) datei angelegt und diese mittels .htaccess eingefügt .. funzt aber nicht (die 400.htm ist leer ausser body tag nichts drin)

hat wer eine idee wie ich die versions ausgabe unterbinden kann ?? (apache 1.3.12)


lg

michl

Jasper
01.12.03, 16:26
Original geschrieben von MichlS

hat wer eine idee wie ich die versions ausgabe unterbinden kann ?? (apache 1.3.12)


option servertokens
option serversignature

beides im modul core

-j

MichlS
01.12.03, 17:36
:confused: :confused:

äää

geht das bitte etwas genauer ? :)

ich kann mit dieser antwort nichts anfangen


lg

michl

Jasper
01.12.03, 18:35
Original geschrieben von MichlS

ich kann mit dieser antwort nichts anfangen


sieh in die apache-doku: modul core, option serversignature und servertokens.

jetzt klar?


-j

MichlS
01.12.03, 20:28
also wennst diese *.so files meinst da hab ich keine mod_core.so

und in der apache doku steht auch nichts :confused:

lg


michl

Jasper
01.12.03, 21:27
Original geschrieben von MichlS
und in der apache doku steht auch nichts :confused:


kann nicht sein, denn es steht definitiv drin:

http://httpd.apache.org/docs/mod/core.html#serversignature
http://httpd.apache.org/docs/mod/core.html#servertokens

aber vorlesen tu ich es nicht.


-j

MichlS
01.12.03, 22:50
ja genau dort war ich auch schon .. hab das in die

/etc/httpd/httpd.conf

ServerSignature Off
ServerTokens Minimal

geschrieben

http neu gestartet und funzt noch immer nicht
ServerTokens Prod wird erst AB version 1.3.12 genommen .. und ich hab diese version .. somit sollts mit "Minimal" funzn tuts aber nicht ...

lg

michl

Jasper
01.12.03, 23:25
Original geschrieben von MichlS
ja genau dort war ich auch schon .. hab das in die

/etc/httpd/httpd.conf

ServerSignature Off
ServerTokens Minimal

geschrieben

http neu gestartet und funzt noch immer nicht
ServerTokens Prod wird erst AB version 1.3.12 genommen .. und ich hab diese version .. somit sollts mit "Minimal" funzn tuts aber nicht ...


ServerTokens ist nur für HTTP-Header zuständig:

# wget -S http://localhost/blafasel
--23:19:16-- http://localhost/blafasel
=> `blafasel'
Resolving localhost... done.
Connecting to localhost[127.0.0.1]:80... connected.
HTTP request sent, awaiting response...
1 HTTP/1.1 404 Not Found
2 Date: Mon, 01 Dec 2003 22:19:16 GMT
3 Server: Apache/2.0.40
4 Content-Length: 274
5 Connection: close
6 Content-Type: text/html; charset=iso-8859-1
23:19:16 ERROR 404: Not Found.

header #3 wird durch servertokens geändert.

die angabe in den fehlerseiten lässt sich durch serversignature nur abschalten, das funktioniert bei mir problemlos. serversignature gilt aber nur für servergenerierte fehlerseiten. wenn du per errordocument eine eigene fehlerseite konfigurierst, taucht keinerlei signature in der seite auf.


-j

MichlS
02.12.03, 08:52
dann muss mein indianer einen fehler haben ...

die serversignature im fehlerdocument oder im index (verz. ohne index.htm) steht immer unten dabei also zb. Apache/1.3.12 Server at www.XXXX.org Port 80 obwohl die sign. auf Off steht ...

ich würd mal auf einen fehler im apache tippen .. oder was meinst du ?

lg

michl

Svenny
02.12.03, 12:24
wie wäre es mal mit updaten?

Jasper
02.12.03, 13:00
Original geschrieben von MichlS
ich würd mal auf einen fehler im apache tippen .. oder was meinst du ?


kann sein, mit 1.3.19 (auch schon älter) klappts, ebenso wie mit 2.0.48.
einfach mal eine neuere version ausprobieren.


-j

MichlS
02.12.03, 15:11
gehen bei einen update von meiner alten version 1.3.12 auf 2.xx meine einstellungen verloren ?

funktioniert php sql cgi weiter ?

kanns zu problemen kommen ?

lg

michl

Svenny
02.12.03, 15:25
welche distri hast du

MichlS
02.12.03, 15:28
problem gelöst .. die anzeige ist weg

der fehler war das mit rchttpd restart oder /usr/sbin/httpd restart der dienst nicht neu gestertatet wurde .. dadurch wurden die änderungen nicht wirksam

mit kill alle prozesse beendet neu gestartet = weg war die server signature ..

werde mir trotzdem ein update überlegen

lg

michl

MichlS
02.12.03, 15:37
suse 7.0 am server (http ftp mail) und suse 8.1 auf der ws

apache 1.3.12
php 4.2.3
sql 3.23.33
und cgi welche beim indianer dabei war

gru
michl