Nginx_修改Web服务器头消息,Nginx安全优化之遮掩版本号

Nginx安全优化之隐藏版本号

安全一直是互联网不可忽视的问题,今天介绍下Nginx隐藏版本信息,别人不清楚你的版本,就无法使用针对Nginx的漏洞进行攻击。Nginx软件是开源的但是源码中也携带版本信息,可以修改源代码进行隐藏版本信息。

版本显示

[[email protected]
~]# curl -I 192.168.1.7|grep Server            

Server: nginx/1.8.1 #nginx的软件版本信息

51CTO的web容器版本

[[email protected]
nginx-1.8.1]# curl -I www.51cto.com|grep Server

Server: Tengine   #隐藏了版本信息

隐藏了版本,让版本漏洞无法使用

修改nginx源代码来隐藏nginx版本信息

文件1
“nginx-1.8.1/src/core/nginx.h” 12行-23行

原配置文件

[[email protected]
tools]# sed -n ‘12,23p’ nginx-1.8.1/src/core/nginx.h  

#define nginx_version      1008001

#define NGINX_VERSION      “1.8.1”  #修改想要显示的版本如:2.2.23

#define NGINX_VER          “nginx/” NGINX_VERSION 

                          #将nginx修改成想要显示的软件名称

#ifdef NGX_BUILD

#define NGINX_VER_BUILD    NGINX_VER ” (” NGX_BUILD “)”

#else

#define NGINX_VER_BUILD    NGINX_VER

#endif

#define NGINX_VAR          “NGINX” #将nginx修改成想要显示的软件名称(Evan Web
Server)

#define NGX_OLDPID_EXT     “.oldbin”

修改后

[[email protected]
tools]# sed -n ‘12,23p’ nginx-1.8.1/src/core/nginx.h

#define nginx_version      1008001

#define NGINX_VERSION      “2.2.23” #版本修改为2.2.23

#define NGINX_VER          “EWS/” NGINX_VERSION

#nginx修改为EWS

#ifdef NGX_BUILD

#define NGINX_VER_BUILD    NGINX_VER ” (” NGX_BUILD “)”

#else

#define NGINX_VER_BUILD    NGINX_VER

#endif

#define NGINX_VAR          “EWS” #nginx修改为EWS

#define NGX_OLDPID_EXT     “.oldbin” 

文件2
“nginx-1.8.1/src/http/ngx_http_header_filter_module.c” 49行

源文件

[[email protected]
tools]# sed -n ’49p’
nginx-1.8.1/src/http/ngx_http_header_filter_module.c 

static char ngx_http_server_string[] = “Server: nginx” CRLF;  #将nginx修改为想要的版本

修改后

[[email protected]
tools]# sed -n ’49p’
nginx-1.8.1/src/http/ngx_http_header_filter_module.c 

static char ngx_http_server_string[] = “Server: EWS” CRLF;   #将nginx修改为了EWS

修改链接错误的版本显示

错误链接网站显示

图片 1

访问错误的链接也有暴露版本信息的危险

文件3
“nginx-1.8.1/src/http/ngx_http_special_response.c” 29行

源文件

[[email protected]
tools]# sed -n ‘21,31p’
nginx-1.8.1/src/http/ngx_http_special_response.c

“<hr><center>nginx</center>” CRLF  #将nginx修改为想要的版本信息

修改后

[[email protected]
tools]# sed -n ’29p’
nginx-1.8.1/src/http/ngx_http_special_response.c    

“<hr><center>EWS</center>” CRLF

重新编译安装,可以看到如下效果

编译安装方法:

版本信息

[[email protected]
nginx-1.8.1]# curl -I 192.168.1.7

HTTP/1.1 200 OK

Server: EWS/2.2.23   #更改为EWS/2.2.23 

Date: Thu, 07 Apr 2016 11:51:41 GMT

Content-Type: text/html

Content-Length: 612

Last-Modified: Thu, 07 Apr 2016 11:50:40 GMT

Connection: keep-alive

ETag: “57064990-264”

Accept-Ranges: bytes

错误链接修改后结果

图片 2

访问错误的链接更改了版本信息。

更多Nginx相关教程见以下内容:

CentOS 6.2实战部署Nginx+MySQL+PHP

使用Nginx搭建WEB服务器

搭建基于Linux6.3+Nginx1.2+PHP5+MySQL5.5的Web服务器全过程

CentOS 6.3下Nginx性能调优

CentOS 6.3下配置Nginx加载ngx_pagespeed模块

CentOS 6.4安装配置Nginx+Pcre+php-fpm

Nginx安装配置使用详细笔记

Nginx日志过滤 使用ngx_log_if不记录特定日志

Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里

本文永久更新链接地址:

安全一直是互联网不可忽视的问题,今天介绍下Nginx隐藏版本信息,别人不清楚你的版本,就无法使用针对Ngin…

Nginx_修改Web服务器头信息(Header)里的Server值[转],nginxheader

黑客攻击一个网站,往往需要了解服务器的架构,网站的架构等信息,了解了这些信息,就知道网站薄弱的地方在哪里了!
    为了不让对方知道自己的webserver真实环境,我们可以伪装隐藏自己的真实服务器环境.虽然安防不能做到100%,但至少也会让对方焦头烂额.废话不多说了!
@[email protected]“

一. Windows环境

修改nginx的server信息
    
    1.进入nginx安装目录下,用文本编辑器编辑conf目录下的fastcgi.conf
     
  fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

    2.用文本编辑器编辑conf目录下的fastcgi_params

    fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;

    3.#service nginx restart #重启nginx

隐藏nginx的server信息

    1.进入nginx安装目录下,用文本编辑器编辑conf目录下的nginx.conf    
    
    #http{}里面加:

    server_tokens off;

  2.#service nginx restart #重启nginx

二.Linux环境下
    
    同windows
操作一样 ,可能文件名稍有不同,不过本人更改后还是显示Nginx,然后按网上的修改编译src/core/nginx.h
,我们先看下更改前的header信息:

[[email protected]
/]# curl -I
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 02 Nov 2012 15:25:42 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Thu, 01 Nov 2012 18:47:51 GMT
Connection: keep-alive
ETag: “5092c3d7-264”
Accept-Ranges: bytes

修改后的src/core/nginx.h ,代码如下:

/*
 * Copyright (C) Igor Sysoev
 * Copyright (C) Nginx, Inc.
 *
  */

#ifndef _NGINX_H_INCLUDED_
#define _NGINX_H_INCLUDED_

#define nginx_version      1003008
#define NGINX_VERSION      “1.3.8”
#define NGINX_VER          “REKFAN/” NGINX_VERSION

#define NGINX_VAR          “REKFAN
#define NGX_OLDPID_EXT     “.oldbin”

#endif /* _NGINX_H_INCLUDED_ */

编译Nginx,重新看看结果header信息还是没变!

最后找到另一个帖子更改src/http/ngx_http_header_filter_module.c文件成功了!

找到下面两行:
static char ngx_http_server_string[] = “Server: nginx” CRLF;
static char ngx_http_server_full_string[] = “Server:
” NGINX_VER CRLF;
将其修改为:
static char ngx_http_server_string[] = “Server: REKFAN” CRLF;
static char ngx_http_server_full_string[] =
“Server: REKFAN/1.0” CRLF;

将上面红色修改为你想要显示的信息,重新编译后重新启动下Nginx!

重新查看header信息:
[[email protected]
/]# curl -I 
HTTP/1.1 200 OK
Server: REKFAN
Date: Fri, 02 Nov 2012 15:30:28 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Thu, 01 Nov 2012 18:47:51 GMT
Connection: keep-alive
ETag: “5092c3d7-264”
Accept-Ranges: bytes

后来发现,当我们添加server_tokens
off; 参数的时候,调用的是src/http/ngx_http_header_filter_module.c里的值
不添加的时候,显示版本号调用的是src/core/nginx.h里的值,所以我们修改的时候尽量两个地方都修改!

黑客攻击一个网站,往往需要了解服务器的架构,网站的架构…

Post Author: admin

发表评论

电子邮件地址不会被公开。 必填项已用*标注