Russian Apache mailing list archive (apache-rus@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[apache-rus] Re[3]: ???? ?? 1.3.27

To: <apache-rus@xxxxxxxxxxxxx>
Subject: [apache-rus] Re[3]: ???? ?? 1.3.27
From: "Webmaster AV" <webmaster@xxxxxxxxxx>
Date: Mon, 21 Oct 2002 12:51:21 +1100
Content-length: 2782

Andrew Sitnikov> Может вас спасет expose_php = Off в
php.ini ?
Это помогло. Спасибо за наводку.

> > 1) что в исходниках поменять, чтобы апач выдавал в
> > ответе клиенту в строке "Server:" не свою настоящую
> > версию, а что-то другое; И при этом бы ничего не
> > говорил о встроенных модулях (в моем случе - про
PHP).
> > ??
>
> ServerTokens ProductOnly
> Будет просто Apache.

Хорошая директива, но хотелось бы иметь бОльшую
свободу (например, чтобы он вообще говорил, что он
вовсе не апач, а какой-нибудь MiniHTTPd :-)

нашел в файле src/include/httpd.h  следующее:

#define SERVER_BASEPRODUCT  "Apache"
#define SERVER_BASEREVISION "1.3.27"
#define SERVER_BASEVERSION  SERVER_BASEPRODUCT "/"
SERVER_BASEREVISION

#define SERVER_PRODUCT  SERVER_BASEPRODUCT
#define SERVER_REVISION SERVER_BASEREVISION
#define SERVER_VERSION  SERVER_PRODUCT "/"
SERVER_REVISION

Что следует поменять на свой текст - первые три
переменные, или вторые? (склонен полагать, что либо
первые, либо вторые используются для каких-то
внутренних целей; а вторые либо первые - выдаются
клиенту)
Самостоятельно экспериментировать боюсь - вдруг
заработает, но повлечет за собой неявные проблемы
(незаметные для невооруженного глаза ламера :)

Если я все правильно напутал, то изменение этих
переменных в совокупности с директивой
ServerTokens даст нужный для меня результат...

> > 2) какие версии апачи были в его истории неуязвимы
для
> > удаленной атаки (со 100% гарантией) ?  Желательно,
> > чтобы эта вресия была проверена временем - чтобы
> > вероятность обнаружения в ней дыр в будущем была
> > минимальна.
>
> "Полное спокойствие может дать человеку только
страховой полис."
Лично мне и страховой полис не дает полного спокойствия
:))
От бэк-апов толку больше, имхо.

> Похоже, у всех до 1.3.26 есть проблемы с chunked
encoding и
> никто не гарантирует, что они не появятся в будущем.
Хорошо, а как насчет версий (не обязательно Апача), для
которых черви по интернету уже не гуляют? Ну и
желательно,
чтобы и самих багов было поменьше.

> А вообще security by obscurity - плохой помощник.
Плохой, конечно, но все же... Лучше наставить ловушек
и капканов хакерам, чем сразу им показать - у меня
такие-то
версии, експлоиты искать там-то... :-)))

А вообще-то, своей целью ставлю защиту от
скрипт-киддеров.
В одной статье читал, что они сначала сканируют
интернет на
серверы, для версий которых у них есть эксплоиты, а
потом -
нажимают пару кнопок и сервер в их распоряжении...

/Константин/

=============================================================================
=               Apache-Rus@xxxxxxxxxxxxx mailing list                       =
Mail "unsubscribe apache-rus" to majordomo@xxxxxxxxxxxxx if you want to quit.
=       Archive avaliable at http://apache.lexa.ru/mail-archive             =

Prev by Date: Re: [apache-rus] .htaccess
Next by Date: [apache-rus] ??? ???????? mod_accel ?? mod_charset?
Previous by thread: [apache-rus] ???? ?? 1.3.27
Next by thread: [apache-rus] ??? ???????? mod_accel ?? mod_charset?
Index(es):
- Date
- Thread

Спонсоры сайта:

[ Russian Apache ] [ Как это работает ] [ Рекомендации ] [ Где взять ] [ Как установить ] [ Как настроить ] [ Статус и поддержка ] [ Краткий обзор ] [ FAQ ] [ Список рассылки ] [ Благодарности ] [ Поиск по серверу ] [ Powered by Russian Apache ] [ Apache-talk archive ]

"Russian Apache" includes software developed by the Apache Group for use in the Apache HTTP server project (http://www.apache.org/) See Apache LICENSE. Copyright (C) 1995-2001 The Apache Group. All rights reserved. Copyright (C) 1996 Dm. Kryukov; Copyright (C) 1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.