informação de versão do apache - nmap
Pessoal, li que tem como desabilitar as informações que o Apache passa, tanto via nmap, qto via erros de qual versão e módulos ele tá rodando, só não informaram como fazer na prática, se é via parâmetros na compilação ou no .conf mesmo. Alguém sabe como ocultar estas informações, que podem ser usadas na preparação de um ataque ?
informação de versão do apache - nmap
Para remover os banners do apache, edite o arquivo httpd.conf e coloque:
informação de versão do apache - nmap
telnet server 80
GET / HTTP/1.1<enter><enter>
Cola a resposta do servidor aí.
informação de versão do apache - nmap
Para os arquivos de erro, você precisa alterar o footer deles, pode por o que quiser.
resultado do telnet na porta 80
Trying 192.168.0.1...
Connected to 192.168.0.1 (192.168.0.1).
Escape character is '^]'.
get / http/ 1.1
HTTP/1.1 400 Bad Request
Date: Thu, 06 Jan 2005 16:32:36 GMT
Server: Apache
Content-Length: 292
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache Server at xxx.com.br Port 80</address>
</body></html>
Connection closed by foreign host.
informação de versão do apache - nmap
informação de versão do apache - nmap