今天發(fā)現(xiàn)使用站長工具或一些相關(guān)的工具可以直接查看到服務(wù)器所使用的php版本號(hào)與apache版本號(hào)了,這樣對(duì)于網(wǎng)站來講很不安全了,如果這些版本出現(xiàn)問題有些人就可以直接搞定了,下面我們看看隱藏版本的方法,可惜的是在windows下我暫時(shí)還沒找到解決辦法.

隱藏PHP版本

為了安全起見,最好還是將PHP版本隱藏,以避免一些因PHP版本漏洞而引起的攻擊.

1、隱藏PHP版本就是隱藏 “X-Powered-By: PHP/5.2.13″ 這個(gè)信息.

方法很簡單:編輯php.ini配置文件,修改或加入: expose_php = Off 保存后重新啟動(dòng)Nginx或Apache等相應(yīng)的Web服務(wù)器即可.代碼如下:

1. [root@bkjz /]# curl -I m.survivalescaperooms.com 
2. HTTP/1.1 200 OK 
3. Server: nginx 
4. Date: Tue, 20 Jul 2010 05:45:13 GMT 
5. Content-Type: text/html; charset=UTF-8 
6. Connection: keep-alive 
7. Vary: Accept-Encoding 

已經(jīng)徹底隱藏了PHP版本.

隱藏Apache版本號(hào)

一般情況下,軟件的漏洞信息和特定版本是相關(guān)的,因此,軟件的版本號(hào)對(duì)攻擊者來說是很有價(jià)值的.

在默認(rèn)情況下,系統(tǒng)會(huì)把Apache版本模塊都顯示出來,http返回頭信息,如果列舉目錄的話,會(huì)顯示域名信息,文件列表正文,代碼如下:

1. [root@localhost tmp]# curl -I 192.168.80.128:88 
2. HTTP/1.1 403 Forbidden 
3. Date: Wed, 21 Jul 2010 13:09:33 GMT 
4. Server: Apache/2.2.15 (CentOS) 
5. Accept-Ranges: bytes 
6. Content-Length: 5043 
7. Connection: close 
8. Content-Type: text/html; charset=UTF-8 

隱藏方法:1、隱藏Apache版本號(hào)的方法是修改Apache的配置文件,如RedHat系的Linux默認(rèn)是如下代碼:

vim /etc/httpd/conf/httpd.conf

分別搜索關(guān)鍵字ServerTokens和ServerSignature,修改.

ServerTokens OS 修改為 ServerTokens ProductOnly

ServerSignature On 修改為 ServerSignature Off

2、重啟或重新加載Apache就可以了,代碼如下:

apachectl restart

測(cè)試一下,代碼如下:

1. [root@localhost tmp]# curl -I 192.168.80.128:88 
2. HTTP/1.1 403 Forbidden 
3. Date: Wed, 21 Jul 2010 13:23:22 GMT 
4. Server: Apache 
5. Accept-Ranges: bytes 
6. Content-Length: 5043 
7. Connection: close 
8. Content-Type: text/html; charset=UTF-8 

版本號(hào)與操作系統(tǒng)信息已經(jīng)隱藏了.

3、上面的方法是默認(rèn)情況下安裝的Apache,如果是編譯安裝的,還可以用修改源碼編譯的方法.

進(jìn)入Apache的源碼目錄下的include目錄,然后編輯ap_release.h這個(gè)文件,你會(huì)看到有如下變量:

1. #define AP_SERVER_BASEVENDOR “Apache Software Foundation” 
2. #define AP_SERVER_BASEPROJECT “Apache HTTP Server” 
3. #define AP_SERVER_BASEPRODUCT “Apache” 
4.  
5. #define AP_SERVER_MAJORVERSION_NUMBER 2 
6. #define AP_SERVER_MINORVERSION_NUMBER 2 
7. #define AP_SERVER_PATCHLEVEL_NUMBER 15 
8. #define AP_SERVER_DEVBUILD_BOOLEAN 0 

可以根據(jù)自己喜好,修改或隱藏版本號(hào)與名字,在windows下隱藏apache與php版本號(hào)的方法我暫時(shí)還沒找到,找到會(huì)在下面更新.