Archiv verlassen und diese Seite im Standarddesign anzeigen : version ausgabe bei zb. bad request unterdrücken
tagchen leute,
eine frage beschäftigt mich .. ich würde gerne diese ausgabe unterdrücken :
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>400 Bad Req
uest</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
Your browser sent a request that th
is server could not understand.<P>
Invalid URI in request echo on<P>
<HR>
<ADDRESS>
Apache/1.3.12 Server at xxxxxxx.org Port 80</ADDRESS>
</BODY></HTML>
Verbindung zu Host verloren.
diese kommt, wenn man zb. mit einer windows kiste cmd eingibt und dort "telnet www.SERVERADRESSE.at 80" und später "echo on" eintippt ..
das stellt in meinen augen ein security problem dar .. weil wenn man weiss welche apache version läuft kann man doch mit nen exploid ins system eindringen...
ich würde nun gern die apache version "unterdrücken"
ich habe zu test zwecken ein 400.htm (bad request) datei angelegt und diese mittels .htaccess eingefügt .. funzt aber nicht (die 400.htm ist leer ausser body tag nichts drin)
hat wer eine idee wie ich die versions ausgabe unterbinden kann ?? (apache 1.3.12)
lg
michl
Original geschrieben von MichlS
hat wer eine idee wie ich die versions ausgabe unterbinden kann ?? (apache 1.3.12)
option servertokens
option serversignature
beides im modul core
-j
:confused: :confused:
äää
geht das bitte etwas genauer ? :)
ich kann mit dieser antwort nichts anfangen
lg
michl
Original geschrieben von MichlS
ich kann mit dieser antwort nichts anfangen
sieh in die apache-doku: modul core, option serversignature und servertokens.
jetzt klar?
-j
also wennst diese *.so files meinst da hab ich keine mod_core.so
und in der apache doku steht auch nichts :confused:
lg
michl
Original geschrieben von MichlS
und in der apache doku steht auch nichts :confused:
kann nicht sein, denn es steht definitiv drin:
http://httpd.apache.org/docs/mod/core.html#serversignature
http://httpd.apache.org/docs/mod/core.html#servertokens
aber vorlesen tu ich es nicht.
-j
ja genau dort war ich auch schon .. hab das in die
/etc/httpd/httpd.conf
ServerSignature Off
ServerTokens Minimal
geschrieben
http neu gestartet und funzt noch immer nicht
ServerTokens Prod wird erst AB version 1.3.12 genommen .. und ich hab diese version .. somit sollts mit "Minimal" funzn tuts aber nicht ...
lg
michl
Original geschrieben von MichlS
ja genau dort war ich auch schon .. hab das in die
/etc/httpd/httpd.conf
ServerSignature Off
ServerTokens Minimal
geschrieben
http neu gestartet und funzt noch immer nicht
ServerTokens Prod wird erst AB version 1.3.12 genommen .. und ich hab diese version .. somit sollts mit "Minimal" funzn tuts aber nicht ...
ServerTokens ist nur für HTTP-Header zuständig:
# wget -S http://localhost/blafasel
--23:19:16-- http://localhost/blafasel
=> `blafasel'
Resolving localhost... done.
Connecting to localhost[127.0.0.1]:80... connected.
HTTP request sent, awaiting response...
1 HTTP/1.1 404 Not Found
2 Date: Mon, 01 Dec 2003 22:19:16 GMT
3 Server: Apache/2.0.40
4 Content-Length: 274
5 Connection: close
6 Content-Type: text/html; charset=iso-8859-1
23:19:16 ERROR 404: Not Found.
header #3 wird durch servertokens geändert.
die angabe in den fehlerseiten lässt sich durch serversignature nur abschalten, das funktioniert bei mir problemlos. serversignature gilt aber nur für servergenerierte fehlerseiten. wenn du per errordocument eine eigene fehlerseite konfigurierst, taucht keinerlei signature in der seite auf.
-j
dann muss mein indianer einen fehler haben ...
die serversignature im fehlerdocument oder im index (verz. ohne index.htm) steht immer unten dabei also zb. Apache/1.3.12 Server at www.XXXX.org Port 80 obwohl die sign. auf Off steht ...
ich würd mal auf einen fehler im apache tippen .. oder was meinst du ?
lg
michl
wie wäre es mal mit updaten?
Original geschrieben von MichlS
ich würd mal auf einen fehler im apache tippen .. oder was meinst du ?
kann sein, mit 1.3.19 (auch schon älter) klappts, ebenso wie mit 2.0.48.
einfach mal eine neuere version ausprobieren.
-j
gehen bei einen update von meiner alten version 1.3.12 auf 2.xx meine einstellungen verloren ?
funktioniert php sql cgi weiter ?
kanns zu problemen kommen ?
lg
michl
problem gelöst .. die anzeige ist weg
der fehler war das mit rchttpd restart oder /usr/sbin/httpd restart der dienst nicht neu gestertatet wurde .. dadurch wurden die änderungen nicht wirksam
mit kill alle prozesse beendet neu gestartet = weg war die server signature ..
werde mir trotzdem ein update überlegen
lg
michl
suse 7.0 am server (http ftp mail) und suse 8.1 auf der ws
apache 1.3.12
php 4.2.3
sql 3.23.33
und cgi welche beim indianer dabei war
gru
michl
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.