伪装nginx版本防止入侵web服务器

分类:CentOS运维 阅读:32939 次

为了防止被黑客扫描到web服务器信息,通过相对应的web服务器信息找出对应的版本漏洞,从而对web服务器进行入侵,nginx虽然功能强大,但是也是软件,软件就可能会有漏洞,例如nginx-0.6.32版本,默认情况下可能导致服务器错误的将任何类型的文件以php的方式进行解析,比如上传一个jpg格式的木马到论坛网站,通过漏洞解析成一个php的webshell,从而入侵获得服务器的权限,这将导致严重的安全问题,使得黑客可能攻陷支持php的nginx服务器。如果暴漏了nginx版本而且该版本又存在安全漏洞那么你的web服务器肯定危在旦夕了。

针对于nginx服务器,可以修改源码中关于nginx的header描述信息,以下以nginx-1.2.0版本为例。

  1. [root@wwwnginx-1.2.0]#cdsrc/core/
  2. [root@wwwcore]#vimnginx.h-------编辑nginx.h文件
  1. /*
  2. *Copyright(C)IgorSysoev
  3. *Copyright(C)Nginx,Inc.
  4. */
  5. #ifndef_NGINX_H_INCLUDED_
  6. #define_NGINX_H_INCLUDED_
  7. #definenginx_version1002000
  8. #defineNGINX_VERSION"2.2.2"//默认为1.2.0
  9. #defineNGINX_VER"Apache/"NGINX_VERSION//默认为Nginx
  10. #defineNGINX_VAR"NGINX"
  11. #defineNGX_OLDPID_EXT".oldbin"
  12. #endif/*_NGINX_H_INCLUDED_*/

然后进行正常编译完成安装。

测试效果

使用强大的nmap扫描主机

使用curl获取http请求信息

或者访问一个不存在的URL也可以查看到效果

可以看到无论是用nmap扫描主机还是用curl获取对网站http报文的请求信息甚至是访问请求一个不存在的url都会显示web服务器使用的是Apache2.2.2版本,从而隐藏了我们真实web服务器版本即nginx-1.2.0版本,当然这里可以伪装为IIS、Lighthttp、Tengine甚至是自定义的名字都可以,总之迷惑了入侵者的思路,保护了web服务器的安全。

补充:有朋友留言给我,说404页面还是显示出nginx的风格,那就修改默认404页面吧

在nginx.conf中增加如下内容指定404页面路径(/usr/local/nginx/html)

  1. error_page404/404.html;
  2. location=/404.html{
  3. roothtml;
  4. }

重新加载配置文件

  1. /usr/local/nginx/sbin/nginx-sreload

任意访问一个不存在的页面,就可以看到效果了!

本文出自“老徐的私房菜”博客