Softwareversion von lighttpd nicht mitsenden/ändern

Sofern das DirectoryListing unter lighttpd aktiv ist, wird normal auch die Softwareversion in folgender Weise unter der Dateiauflistung angezeigt: lighttpd/1.4.28.

Um es Angreifern schwieriger zu machen, sollte man die Softwareversion verstecken, also entweder nicht mehr mitsenden oder ändern.

lighttpd bietet dafür eine Möglichkeit anhand einer Variable in der Konfiguration. Standardmäßig sieht diese so aus:

server.tag = "lighttpd <current-version>"Code-Sprache: HTML, XML (xml)

Oder aber sie ist gar nicht angegeben. Dann wird dieser genannte Wert als Standardwert genutzt.

Man kann diese Variable dann beliebig ändern, z. B. in folgendes:

server.tag = "lighttpd"Code-Sprache: JavaScript (javascript)

Dann wird nur noch lighttpd ausgegeben.
Vorteil dabei, dass das eine Variable ist – man kann darin jeglichen Text abspeichern. Somit ist es auch möglich, dem Einbrecher einen vollkommen anderen Webserver vorzugaukeln, z. B. so:

server.tag = "Apache/2.2.21 (Unix) PHP/5.4.0"Code-Sprache: JavaScript (javascript)

Damit wäre es dann ein Apache 2.2.21 mit PHP 5.4.0.

Wirklich erfahrene Einbrecher lassen sich davon zwar nicht abschrecken, für die „Scriptkiddies“ reicht es aber oftmals durchaus.

Ich empfehle auf jeden Fall, zumindest die Versionsnummer zu verschleiern bzw. nicht mitzusenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert