若相依 发表于 2015-1-14 20:29:01

带来一篇假装nginx版本避免进侵web办事器

欢迎大家来到仓酷云论坛!为了避免被黑客扫描到web办事器信息,经由过程绝对应的web办事器信息找出对应的版本毛病,从而对web办事器举行进侵,nginx固然功效壮大,可是也是软件,软件便可能会有毛病,比方nginx-0.6.32版本,默许情形下大概招致办事器毛病的将任何范例的文件以php的体例举行剖析,好比上传一个jpg格局的木马到服装论坛网站,经由过程毛病剖析成一个php的webshell,从而进侵取得办事器的权限,这将招致严峻的宁静成绩,使得黑客大概攻下撑持php的nginx办事器。假如暴漏了nginx版本并且该版本又存在宁静毛病那末你的web办事器一定危在夙夜迟早了。
针关于nginx办事器,能够修正源码中关于nginx的header形貌信息,以下以nginx-1.2.0版本为例。
#cdsrc/core/#vimnginx.h-------编纂nginx.h文件/**Copyright(C)IgorSysoev*Copyright(C)Nginx,Inc.*/#ifndef_NGINX_H_INCLUDED_#define_NGINX_H_INCLUDED_#definenginx_version1002000#defineNGINX_VERSION"2.2.2"//默许为1.2.0#defineNGINX_VER"Apache/"NGINX_VERSION//默许为Nginx#defineNGINX_VAR"NGINX"#defineNGX_OLDPID_EXT".oldbin"#endif/*_NGINX_H_INCLUDED_*/然落后行一般编译完成装置。
测试效果
利用壮大的nmap扫描主机

利用curl猎取http哀求信息

大概会见一个不存在的URL也能够检察到效果

能够看到不管是用nmap扫描主机仍是用curl猎取对网站http报文的哀求信息乃至是会见哀求一个不存在的url城市显现web办事器利用的是Apache2.2.2版本,从而埋没了我们实在web办事器版本即nginx-1.2.0版本,固然这里能够假装为IIS、Lighthttp、Tengine乃至是自界说的名字都能够,总之利诱了进侵者的思绪,回护了web办事器的宁静。
增补:有伴侣留言给我,说404页面仍是显现出nginx的作风,那就修正默许404页面吧
在nginx.conf中增添以下内容指定404页面路径(/usr/local/nginx/html)
error_page404/404.html;location=/404.html{roothtml;}从头加载设置文件
/usr/local/nginx/sbin/nginx-sreload恣意会见一个不存在的页面,就能够看到效果了!


本文出自“老徐的私房菜”博客

欢迎大家来到仓酷云论坛!

飘飘悠悠 发表于 2015-1-16 18:38:24

带来一篇假装nginx版本避免进侵web办事器

众所周知,目前windows操作系统是主流,在以后相当长的时间内不会有太大的改变,其方便友好的图形界面吸引了众多的用户。

兰色精灵 发表于 2015-2-3 13:13:15

发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。

山那边是海 发表于 2015-2-9 04:14:19

工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。

第二个灵魂 发表于 2015-2-27 00:21:20

任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。

活着的死人 发表于 2015-3-8 21:31:01

熟悉并掌握安装Linux,安装是学习的前提。目前较常见的安装方法有二种:

再现理想 发表于 2015-3-16 21:53:24

Windows?是图形界面的,Linux类似以前的?DOS,是文本界面的,如果你运行了图形界面程序X-WINDOWS后,Linux?也能显示图形界面,也有开始菜单、桌面、图标等。
页: [1]
查看完整版本: 带来一篇假装nginx版本避免进侵web办事器