How to: Ocultar version de Apache (Server) y Sistema Operativo en WebServer

Cuanto mas se sabe de los servidores que están en Internet mas vulnerables son. Una cosa es no saber nada y otra muy distinta es saber que software y versiones tiene instalado. En referencia a lo hablado en el párrafo anterior hay muchas instalaciones de Apache que muestran mas informacion de lo conveniente. Hoy explicaré un par de trucos para mejorar esta situación. Frecuentemente con solo navegar una pagina inexistente de un servidor nos da esta informacion. Y si nuestros intereses van mas allá de navegar en esta web y queremos saber sus vulnerabilidades, no hay nada mejor que pasarle el Acunetix WVS.

 

Como vemos estamos revelando el tipo de sistema operativo ademas del tipo de servidor Web, su version y por si esto fuera poco la version de php. Por otro lado algo que no es tan facil ver es que esta informacion tambien viaja en los HTTP Response Header, la podemos ver aqui.

Para enseñarle discrecion a nuestro Apache alcanza con escribir (o modificar en caso de que existan) estas dos lineas en el httpd.conf y reiniciar el servidor usando /etc/init.d/httpd restart o/etc/init.d/apache2 restart (Este comando pude diferir de  instalacion en instalacion aunque estos 2 son loas mas comunes).

Los posibles valores de ServerTokens son los siguientes:

ServerTokens Prod         #Server sends (e.g.): Server: Apache
ServerTokens Min          #Server sends (e.g.): Server: Apache/1.3.0
ServerTokens OS           #Server sends (e.g.): Server: Apache/1.3.0 (Unix)
ServerTokens Full          #Server sends (e.g.): Server: Apache/1.3.0 (Unix) PHP/3.0 MyMod/1.2

Una vez hecho las imagenes anteriores  se veran como estas 

Listo! Mision Cumplida again!, si visitamos la pagina web http://www.kenkai.com/seo-tools-server-info.htm como su nombre lo dice nos da información de cualquier pagina web... y de su server. En mi caso, solo aparece, Apache!

Ahora si juankeenme!

H4ck 4 D4y!

Posted in: Apache,How to,Server,Servidores,Wamp Server