it-swarm.com.de

Wie kann ich verdecken, was ich zum Ausführen meiner Website verwende?

Kann ich irgendetwas tun, um zu verhindern, dass jemand weiß, dass meine Website Drupal) verwendet, indem ich den Quellcode der Startseite betrachte? Ich beziehe mich auf Personen, die Websites mit Software scannen, die die Software erkennt Wird verwendet, um die Website auszuführen und sie mit einem bekannten Schwachpunkt angreifen zu können.

Wenn es nicht möglich ist, die Tatsache, dass die Site Drupal verwendet, vollständig zu verbergen, ist es zumindest möglich, sie zu verwirren (z. B. durch Aliasing der Knotenseiten mit URLs wie http://example.com/servlets/<node-id>.jsp)?

72
kiamlaluno

Dies ist eine alte und bereits beantwortete Frage, aber ich habe kürzlich einige Anstrengungen unternommen, um eine Beschreibung von all den Dingen zu verfassen, die Sie ändern müssten:

  • Entfernen Sie den Meta-Generator für Drupal 7
  • Entfernen Sie verräterischen Text wie CHANGELOG.txt
  • Überprüfen Sie den Expires-Header
  • Laufverzeichnisse für HTTP 200/404/403 Statuscodes
  • Nach Standard-Textnachrichten suchen - Optimieren Sie alle benutzerbezogenen Nachrichten
  • Schauen Sie sich das HTML an - Standard-HTML von Core und Modulen ist ein verräterisches Zeichen

Grundsätzlich gilt: Es ist technisch möglich, die Tatsache zu verbergen, dass auf Ihrer Website Drupal ausgeführt wird, aber Sie würden so viel Zeit damit verbringen, dass es sich nicht lohnt. Sie sollten sich stattdessen darauf konzentrieren, die Sicherheit und den sicheren Betrieb zu gewährleisten (z. B. die Möglichkeit, Updates schnell bereitzustellen, Protokolle zu überwachen usw.).

52
greggles

Sie können es nicht vollständig verstecken. Das meiste, was dazu benötigt wird, würde einen Hacking-Kern erfordern. Der größte Hinweis ist die JavaScript-Variable Drupal, die von der Startseite oder einer beliebigen anderen Seite aus gelesen werden kann.

Wenn Sie die Sicherheit Ihrer Websites verbessern möchten, indem Sie verbergen, dass es sich um eine Drupal -Site) handelt, sollten Sie sich besser mit Codeüberprüfungen befassen als mit dem Versuch, die Tatsache zu verbergen, dass die Site mit Drupal erstellt wurde.

99
googletorp

Es ist zu einfach, Kiam!

  • Verwenden Sie einen Reverse-Proxy oder passen Sie Ihren http-Daemon an, um den nervigen Drupal http-Header) zu filtern
  • Verweigern Sie den http-Zugriff auf beliebige Drupal Standardordner
  • Verwenden Sie PHP Ausgabepufferung, um Ihre HTML-Quelle neu zu schreiben und zu verdecken, und entfernen Sie unnötige Daten
  • Verwenden Sie den URL-Alias ​​oder custom_url_rewrite_in/outbound, um Ihre URLs zu einem Chaos zu machen
  • Ändern Sie den Standardfehler 404, entfernen/ändern Sie update.php
  • Nehmen Sie weitere Änderungen vor, wenn jemand davon erfährt

Und zu guter Letzt stellen Sie sicher, dass Ihre Site so einfach ist, dass für normales Verhalten kein JS oder CSS erforderlich ist (verwenden Sie keine Ansichten oder Ctools ...), keine Benutzerauthentifizierung usw. unterstützt, was bedeutet, dass Ihre Site dies tun sollte Seien Sie so einfach wie eine statische HTML-Site.

Ok, all das, um die Leute glauben zu lassen, dass auf Ihrer Website kein Drupal ausgeführt wird. Wie auch immer, Sicherheit durch Dunkelheit ist nutzlos.

42
jcisio

Es gibt einen offiziellen Artikel und eine Diskussion über das gleiche .

Das kannst du nicht. Versuchen Sie nicht

  • Automatisierte Angriffe (bei weitem die häufigsten Angriffe) überprüfen den Server nicht einmal, bevor sie ihre Exploits ausprobieren .
    Wenn Sie die Protokolle einer hochkarätigen Site überprüfen, werden Tausende erfolgloser Anfragen nach /AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi ... und eine beliebige Anzahl von Versuchen historischer Exploits auf einem nicht verwandten System.
    Angriffe auf Exploits finden auch dann statt, wenn die Exploits auf Ihrem Betriebssystem oder CMS nicht vorhanden sind. Was auch immer Sie tun, um Ihre Site falsch zu identifizieren, wird sowieso von Amateur-Hackern ignoriert werden.
  • Was auch immer Sie denken, Sie können sich verstecken, es gibt andere Hinweise für jedes System.
    Durch einfaches Entfernen einiger Zeichenfolgen, die "Drupal" enthalten, wird Ihre Website nicht für einen vernünftigen Snooper verschleiert. Es gibt Dutzende von Möglichkeiten, um zu erraten, was Ihre Seiten bedient, und sogar dedizierte Dienste, um festzustellen, ob auf dieser Site Drupal ausgeführt wird. Nur die Schlüsselwörter, die Sie erkennen und für eine Bedrohung halten, sind eine kleine Teilmenge der tatsächlichen Indikatoren.
    Fragen Sie nach index.php /? Q = user. Versuchen Sie dann, diese Antwort zu deaktivieren, ohne Ihre Website zu lähmen.
  • Sicherheit durch Dunkelheit ist keine Sicherheit. Es gibt den falschen Eindruck, "sicher" zu sein, wenn Sie nur Schwachstellen hinter einer Nebelwand verstecken, die jeder Angreifer, der eine echte Bedrohung darstellt, durchschauen kann.
  • Obwohl es nicht ganz unmöglich ist, den Code bis zu dem Punkt zu hacken, an dem die meisten Spuren von Drupal) vor der HTML-Quelle verborgen sind , (Immerhin ist es Open Source) Die dafür erforderlichen Schritte würden den Kern notwendigerweise so stark beschädigen, dass ihr gehackter Zweig des Codes wäre mit den echten Sicherheitsupdates nicht kompatibel dass Sie nicht patchen konnten und wirklich offen für echte zukünftige Bedrohungen sind, die vom Sicherheitsteam identifiziert wurden. Dies ist ein echter Weg zur Systemanfälligkeit.
  • Die meisten wichtigen oder nützlichen Module haben ihre eigene Codesignatur, die ohne signifikante Umschreibungen nur schwer zu verbergen ist. Wenn Sie "Ansichten", "Cck", "Anzeige", "Imagecache", "JQuery", "CSS-Aggregation", beigetragene Themen oder irgendetwas Nützliches auf Ihrer Site verwenden - kann jemand sagen . Das vollständig auszublenden würde normalerweise eine vollständige Konvertierung der Themenfunktionen erfordern - zumindest. Selbst dann wird Obsfucation wahrscheinlich nicht funktionieren .
  • Um die Identifizierung vieler erweiterter Funktionen zu entfernen, wie z. B. die einfache Installation von Google Analytics, bei der möglicherweise Drupal Libraries) verwendet werden, müssen Sie entweder ganz auf diese Funktionen verzichten oder sie auf eine bestimmte Weise neu schreiben Dies nutzt die Infrastruktur Drupal) nicht aus. Manchmal ist dies möglich, aber in allen Fällen kontraproduktiv.

Möglicherweise möchten Sie auch Sichern Ihrer Website lesen.

Denken Sie daran Niemals den Kern hacken

34
niksmac

Sie können auch das File Aliases-Modul verwenden, um die Standarddateistruktur zu ändern.

Mit dem Modul File Aliases können Sie tokenanpassbare Aliase für Ihre hochgeladenen Dateien verwenden. So können Sie Ihr Dateisystem wie gewohnt organisieren und sauber aussehende Pfade bereitstellen (dh nicht mehr/sites/default)/files /).

1
john

Es macht keinen Sinn zu verbergen, dass auf Ihrer Site Drupal ausgeführt wird. Es ist die falsche Sichtweise auf die Entwicklung von Websites. Worauf Sie sich konzentrieren sollten, ist Sicherheit. Stellen Sie sicher, dass Sie alle Wertpapiermaßnahmen umsetzen und alles in Ordnung ist. Es gibt keinen Grund auf der Welt, zu verbergen, dass Sie einen bestimmten CMS oder eine andere Software verwenden. Mit FF-Addons wie Wappalyzer können Sie sofort feststellen, ob eine Site Drupal verwendet. Die Frage ist also ziemlich umstritten.

1
picxelplay

Ich stimme anderen Leuten zu, dass man es nicht ganz verbergen kann. Wenn Sie sich die HTML-Quelle ansehen, werden Sie feststellen, dass CSS- und JavaScript-Dateien häufig nicht aggregiert wurden. Die CSS- und JavaScript-Aggregation sollte aktiviert sein.

1
user140

In der Vergangenheit habe ich meine Schriftarten gegen die typischen Ruby - Projektschriftarten wie Lucida Sans ausgetauscht und auch die Eingabegröße erhöht, wie dies bei allen angesagten Kindern der Fall ist.

Ein weiteres Geschenk ist die "Throbber" -Grafik für Felder mit automatischer Vervollständigung. Es funktioniert auch nicht, wenn Sie die Eingabegröße erhöhen. Hier ist eine, die du stehlen kannst: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

0
doublejosh