Como posso ocultar o que estou usando para executar meu site?

72

Existe algo que eu possa fazer para impedir que alguém saiba que meu site está usando o Drupal olhando o código fonte da primeira página? Refiro-me a pessoas que examinam sites usando software que detecta o software usado para executar o site para poder atacá-lo usando qualquer ponto fraco conhecido.

Se não for possível ocultar completamente o fato de o site estar usando o Drupal, é pelo menos possível confundi-los (por exemplo, usando o alias das páginas dos nós com URLs como http://example.com/servlets/<node-id>.jsp)?

hooks kiamlaluno
fonte
76
Você não quer esconder o Drupal. Drupal é incrível.
Damien Tournoud
4
Que tal excluir o arquivo CHANGELOG.txt do diretório raiz para começar! Não, mas sério - parece uma completa perda de tempo para mim. Mantenha-se atualizado com as atualizações de segurança e não há necessidade de ocultar o fato de que é o Drupal. The Whitehouse esconde o fato de que eles estão usando o Drupal? Não, eles gritar dos telhados :)
Tom Kirkpatrick
10
Nesse caso, a segurança através da obscuridade não oferece mais segurança.
Bryan Casler
3
Você pode ler Cacking Drupal: uma gota no balde , que é um excelente tratado para proteger seu site Drupal.
Mawg 23/09/11
2
Se você não acha que o caso de uso de segurança se encaixa, aqui está uma alternativa: confidencialidade comercial. Uma empresa pode não querer que seus concorrentes possam descobrir facilmente a partir da qual o site é construído. Ou, uma agência ou consultoria pode querer manter seus concorrentes no escuro sobre a atual gama de ferramentas que está usando.
usar o seguinte comando

Respostas:

53

Esta é uma pergunta antiga e já respondida, mas recentemente fiz um esforço para escrever uma descrição de todas as coisas que você precisaria alterar:

  • Remova o meta gerador para Drupal 7
  • Remova o texto avisado como CHANGELOG.txt
  • Verifique o cabeçalho Expira
  • Diretórios ambulantes para códigos de status HTTP 200/404/403
  • Procure mensagens de texto padrão - ajuste todas as mensagens voltadas para o usuário
  • Veja o HTML - o html padrão do núcleo e dos módulos é um sinal revelador

Basicamente: tecnicamente, é possível ocultar o fato de seu site executar o Drupal, mas você gastaria tanto tempo nele que não vale a pena. Em vez disso, você deve se concentrar em torná-lo seguro e em operações seguras (por exemplo, a capacidade de implantar atualizações rapidamente, monitorar logs etc.).

greggles
fonte
Você esqueceu o Drupalobjeto JavaScript que precisa ser renomeado.
Mołot 23/10
@Molot bom ponto. Isso é possível? Algum ponteiro sobre como fazê-lo? O que quero dizer é que não vale a pena fazer isso, portanto, adicionar mais conselhos sobre como fazê-lo só será útil se avançar nesse ponto. Espero que seja muito difícil de fazer o que você menciona :)
greggles
Bem, eu testei com regex de massa em um diretório Drupal e funcionou ... mas não acredito que seja realmente bom. E isso acontece com toda atualização de módulo, é claro.
Mołot 24/10
Corrigir. Não vale a pena o seu tempo. Concentre-se em coisas mais importantes :)
greggles
101

Você não pode esconder completamente. A maior parte do que é necessário para fazer isso exigiria um núcleo de hackers. O mais importante é a Drupalvariável JavaScript que pode ser lida na primeira página ou em qualquer outra página.

Se você deseja melhorar a segurança de seus sites ocultando que é um site Drupal, seu esforço é melhor gasto em revisões de código do que em tentar ocultar o fato de que o site é feito com Drupal.

googletorp
fonte
7
Acordado. Outro ponto morto é a estrutura dos caminhos de CSS / JS / imagem.
Fuzzy76 3/03
2
Você também pode visitar /node/1e ver o que aparece ou verificar os cabeçalhos HTTP .
Paul Jones
39
Se você tentar ocultar seu site com segurança através da obscuridade, estará perdendo seu tempo.
Dave Reid
6
Concordou com todos os itens acima. Além disso, ele seria, então, mais difícil para as pessoas que fazem comparações CMS para ver quantos sites incrível estiver executando Drupal ;-)
geerlingguy
Relevante para o que geerlingguy está dizendo foi a discussão que tivemos aqui: groups.drupal.org/node/113024#comments
coderintherye
42

É fácil demais, Kiam!

  • Use um proxy reverso ou personalize seu daemon http para filtrar o irritante cabeçalho http Drupal
  • Negar acesso http a qualquer pasta padrão do Drupal
  • Use o buffer de saída PHP para reescrever e ocultar sua fonte HTML, remover dados desnecessários
  • Use o alias do URL ou custom_url_rewrite_in / outbound para deixar seus URLs uma bagunça
  • Altere o erro 404 padrão, remova / altere update.php
  • Faça outras alterações se alguém descobrir

E por último, mas não menos importante, verifique se o site é tão simples que não requer JS ou CSS para comportamentos normais (não use Views ou Ctools ...), não oferece suporte à autenticação do usuário etc. ser tão simples quanto um site estático em html.

Ok, tudo isso para fazer as pessoas acreditarem que seu site não roda o Drupal. De qualquer forma, a segurança pela obscuridade é inútil.

jcisio
fonte
@jcisio "De qualquer forma, a segurança pela obscuridade é inútil.", você deveria ter adicionado isso no topo do seu comentário: P.
Arpitr 11/09/13
@arpitr Todo mundo faz isso, então eu acho que não precisa;)
jcisio
34

Existe um artigo oficial e uma discussão sobre o mesmo .

Você não pode. Não tente

  • Ataques automatizados (de longe os ataques mais comuns) nem sequer inspecionam o servidor antes de tentar suas explorações .
    Inspecionando os logs de qualquer site de alto perfil mostrará milhares de pedidos infrutíferos para /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... e qualquer número de tentativas de exploits históricos sobre qualquer sistema independentes.
    Ataques em explorações acontecem mesmo se as explorações não existirem no seu sistema operacional ou no CMS. Tudo o que você fizer para identificar mal o seu site será ignorado pelos hackers amadores.
  • Tudo o que você acha que pode esconder, há outras pistas para qualquer sistema.
    Simplesmente remover algumas de todas as strings que contêm 'drupal' não disfarça o site de qualquer intrometido razoável. Existem dezenas de maneiras que podem ser usadas para adivinhar o que está veiculando suas páginas, até serviços dedicados para informar o site que está executando o Drupal. Apenas as palavras-chave que você reconhece e considera uma ameaça são um subconjunto menor dos indicadores reais.
    Peça index.php /? Q = user. Em seguida, tente desativar essa resposta sem danificar seu site.
  • Segurança pela obscuridade não é segurança. Dá uma falsa impressão de estar 'seguro' quando você está apenas escondendo vulnerabilidades atrás de uma cortina de fumaça que qualquer invasor que represente qualquer ameaça real seria capaz de enxergar.
  • Embora não seja totalmente impossível hackear o código até o ponto em que a maioria dos traços do Drupal estão ocultos da fonte HTML (afinal de contas, é código-fonte aberto), as etapas necessárias para fazê-lo necessariamente quebrariam tanto o núcleo que sua ramificação do código invadido seria incompatível com as atualizações de segurança reais que você não poderia corrigir e estaria genuinamente aberto a ameaças futuras reais identificadas pela equipe de segurança. Este é um verdadeiro caminho para a vulnerabilidade do sistema.
  • Os módulos mais significativos ou úteis têm seu próprio código 'assinatura' que é difícil de ocultar sem reescrições significativas. Se você estiver usando 'views', 'cck', 'ad', 'imagecache', 'jquery', agregação de css, temas contribuídos ou qualquer coisa útil em seu site - alguém pode dizer . Esconder isso inteiramente normalmente exigiria uma conversão total das funções do tema - pelo menos. Mesmo assim, a obsfucação provavelmente não funcionará .
  • Para remover a identificação de muitos dos recursos avançados, como até a instalação fácil do Google Analytics que pode usar as Bibliotecas do Drupal para funcionar, você deve necessariamente renunciar completamente a esses recursos ou reescrevê-los de uma maneira que não tire proveito da infraestrutura do Drupal . Às vezes isso é possível, mas em todos os casos é contraproducente.

Você também pode estar interessado em ler Protegendo seu site .

Lembre-se de nunca hackear o núcleo

niksmac
fonte
Embora eu concorde com isso, acho que, mesmo como primeira linha de defesa, remover os cabeçalhos referentes ao PHP e Drupal é uma boa coisa, além de não permitir o acesso a scripts php não indexados. Não, é claro que as pessoas sempre encontrarão uma maneira de descobrir que você está executando o Drupal e pensando que você pode esconder isso é bobagem. Mas não há mal algum em tornar a vida um pouco mais difícil para o hacker menos exigente.
Matt Fletcher
1

Não há nenhum ponto em esconder que seu site executa o Drupal. É a maneira errada de olhar para o desenvolvimento de sites. O que você deveria focar é a segurança. Certifique-se de implementar todas as medidas de valores mobiliários e tudo ficará bem. Não há uma razão no mundo para ocultar o fato de você estar usando um determinado cms ou outro software. Com complementos do FF como o Wappalyzer, você pode dizer em um instante se um site usa o Drupal, então a questão é bastante discutível.

picxelplay
fonte
1

Uma coisa extra que você pode fazer é usar também o módulo Aliases de arquivo para alterar a estrutura padrão do arquivo.

O módulo Aliases de arquivo permite que você use aliases personalizáveis ​​de token para seus arquivos enviados, permitindo manter o sistema de arquivos organizado como de costume, fornecendo caminhos limpos (ou seja, não há mais / sites / default / files /).

John
fonte
11
E? Isso corrige uma pequena parte do processo e talvez nem mesmo a parte mais importante.
greggles
11
Não queria repetir mais uma vez as respostas corretas das pessoas acima. Acabei de adicionar mais uma dica. E sim, essa dica é muito importante, porque era a mais difícil de ser feita até agora, e geralmente a única maneira de entender um site é drupal, já que geralmente o webmaster faz as etapas habituais, exceto esta. E sim, é muito fácil entender que é um site drupal apenas por causa dessa estrutura de arquivos / organização de pastas.
Joao
1

Eu concordo com outras pessoas que você não pode esconder isso completamente. Se você olhar a fonte HTML, notará que muitas vezes os arquivos CSS e JavaScript não foram agregados. A agregação CSS e JavaScript deve estar ativada.

user140
fonte
0

No passado, troquei minhas fontes pelas fontes típicas do projeto Ruby, como Lucida Sans, aumentando também os tamanhos de entrada, como todos os garotos da moda.

Outro exemplo é o gráfico "throbber" para campos de preenchimento automático. Também não funciona quando você aumenta o tamanho da entrada. Aqui está um que você pode roubar: http://beta.seattlebedandbreakfast.com/misc/throbber.gif

doublejosh
fonte