Webserver zum schweigen bringen

Viele Webserver im Internet verraten viel zu viel über sich selbst, von der Webserver Software Version (Apache, Tomcat oder IIS) über die PHP Version bis hin zu geladen Modulen. Das ganze sendet der Webserver über die HTTP Header

Über Mac OS X oder Linux kann man im Terminal über den Befehl curl -I den Header anschauen

curl -I http://www.google.de

Schaut man sich den Header von Google an wird man nicht viel sehen… die Admins machen ihren Job gut :)

Ganz anders sieht es z.B. bei Golem.de aus:
curl -I http://golem.de
HTTP/1.1 200 OK
Date: Thu, 16 Aug 2007 20:13:52 GMT
Server: Apache/2.0.54 (Debian GNU/Linux) mod_ssl/2.0.54 OpenSSL/0.9.7e PHP/4.4.6
X-Powered-By: PHP/4.4.6
Connection: close
Content-Type: text/html


Man sieht: Golem setzt noch die PHP Version 4.4.6 ein obwohl es schon die Version 4.4.7 gibt, ein kurzer blick in die PHP 4.4.7 release notes verät mir nun was alles gefixt worden ist. Noch schlimmer ist jedoch das der Apache mit der Version 2.0.54 läuft obwohl es schon die 2.0.59 gibt ein blick in die Apache 2.0 relase notes verät einige schwaschtellen.

Dies ist macht es natürlich Hackern sehr einfach nach Sicherheitlücken zu suchen. Man stelle sich vor das ein Hacker über den HTTP Header sieht das der Webserver oder PHP in einer sehr alten Version läuft und diverse Patche fehlen… Der Hacker weiß dann genau wo er anfangen kann!

Deshalb sollte man am besten den Server zum Schweigen bringen.

Den Apache kann man so zum Schweigen Bringen:
in der apache.conf den Eintrag:
ServerTokens Prod
Hinzufügen bzw. ändern, jetzt verrät der Apache nicht mehr seine Version, im HTTP Header steht dann nur noch Apache

PHP Bringt man so zum Schweigen
In der php.ini den Eintrag:
expose_php = Off
hinzufügen bzw. ändern. Jetzt ist auch PHP nicht mehr so gesprächig.

Mit nur wenig Arbeit verrät der Webserver nicht mehr so viel über sich, und schaden tut es auf keinen Fall