google_HaCk! для тех кто ещё не знает что это, объясню как говориться популярно, - это хакерское использование поисковых систем, т.е. использование их для поиска конфидециальной информации и уязвимостей, ещё мож чего. Название "google" разумееться пошло от одноимённого поисковика, который и предоставляет самые большие возможности!google_HaCk! для тех кто ещё не знает что это, объясню как говориться популярно, - это хакерское использование поисковых систем, т.е. использование их для поиска конфидециальной информации и уязвимостей, ещё мож чего. Название "google" разумееться пошло от одноимённого поисковика, который и предоставляет самые большие возможности!
Ближе к теме!
С помощью Google можно совершить множество сетевых атак и найти конфиденциальную информацию - достаточно лишь уметь грамотно сформировать нужный запрос. Нередко с помощью google.com хакеры находят секретные документы, которые случайно оказались на всеобщем обозрении. Большинство запросов включают в себя специальные средства поиска Google, с которыми я тебя обязательно познакомлю.
Что может Google?
Зайди на wwwgoogle.com и обратись к вкладке «Расширенный поиск». На этой странице указываются параметры запроса, которые могут пригодиться хакеру. Так, например, чтобы найти все страницы, содержащие в заголовке текст «Хакерский сайт Васи Пупкина», достаточно изменить опцию «Упоминание», поставив значение «В заголовке страницы», а затем набрать нужный текст строкой ниже. Зачем это нужно? Дело в том, что некоторые секретные страницы по недосмотру администраторов могут не защищаться паролем, а умный поисковик без труда запомнит местонахождение таких ссылок. А по ключевым словам ты без проблем сможешь отыскать «золотые страницы интернета» . Чтобы не быть голословным, попробую показать тебе всю мощь поисковика. Три месяца назад мир узнал об уязвимости в форуме phpBB 2.0.10, и ты тоже наверняка об этом слышал. Но вот беда: не все админы успели обновить форум до более стабильного релиза. Гугл хранит в себе массу ссылок на ресурсы со старой версией борды. От хакера требуется лишь найти жертву с помощью одного-единственного запроса «Powered by phpBB 2.0.10». Теперь, если в установках указать, что нужно выводить не десять результатов на страницу, как это делается по дефолту, а сразу сто, искать бажные ресурсы станет заметно проще. Когда просмотришь все ссылки, можешь попросить Гугла найти сервер с форумом 2.0.9 и т.д. В общем, тут есть где разгуляться!
Конфиги и пароли
Поисковик Google - это не обычный ресурс. Если, скажем, уязвимые форумы хакер может найти на Яндексе или Рэмблере, то на этих поисковиках взломщику сложно будет отыскать файлы с определенным расширением. Представь, что одним прекрасным днем злоумышленник захотел найти себе красивый ICQ-уин. Недолго думая, он зашел на Google, ввел в поисковую строку фразу «Index.of ICQ dat» и, щелкнув по третьей ссылке, стал законным обладателем крутого номерка. А все потому, что какой-то ламер открыл на весь мир каталог с бэкапом своего диска C. Давай разберемся, как же так получилось. Видно, что в запросе присутствуют какие-то странные слова. Все это – специфичные для поисковой системы выражения. Как ты, наверное, замечал, Web-сервер Apache при выводе листинга какого-либо каталога пишет в самом верху жирную надпись «Index of /каталог». Существует немаленькая вероятность, что какой-нибудь лабух вывесил в инете содержимое своего c:program filesICQ. Поэтому в запросе используются слова «ICQ» и «dat», чтобы отсеять ненужное. А точка в нашем случае выступает в роли символа пробела – это общепринятое обозначение в Google. Но напороться на красивый шестизнак с помощью Google-hack не так-то и просто. Обычно злоумышленники ищут не симпатичные аськи, а какие-нибудь конфиги. К примеру, тебе захотелось проверить наличие ссылки на небезызвестный wcx_ftp.ini. Этот конфиг от Total Commander сохраняет в себе пароли на различные FTP-архивы. И надо сказать, что расшифровать эти пассворды не составляет особого труда. Узнать все ссылки на wcx_ftp.ini поможет запрос вида «filetype:ini inurl:wcx». Пришло время разобраться в премудростях этих выражений. Конструкция filetype позволяет указывать искомое расширение файла. Она имеется в арсенале многих поисковиков, однако только Google позволяет задавать любое расширение для поиска. Второе выражение inurl проверяет наличие подстроки в целой ссылке. То есть логическое обоснование поискового запроса можно сформулировать как «Я хочу увидеть все ссылки, оканчивающиеся на .ini и имеющие подстроку wcx». Таким образом хакер находит нужные ему конфиги. Никто не мешает злоумышленнику поискать конфиг с зашифрованным паролем от Edialer’а, ключи WebMoney и т.д.
Поиск уязвимостей
Наконец, мы подошли к самым распространенным запросам, которые задаются хакерами. Это ручной поиск уязвимостей в Google-ссылках. Представим ситуацию: некий взломщик нашел баг в голосовалке vote.php. Суть дыры в том, что скрипту передается параметр answer, изменив который, можно подключить к сценарию любой текстовый файл. Но вот беда: хакер не может найти применение свежей дырке. Писать телегу в багтрак неохота, так как есть желание взломать ряд серверов с активной голосовалкой. Приходится идти на Google и искать заразные ссылки там. По всей видимости, злоумышленник воспользуется запросом «filetype:php inurl:answer». Большинство этих ссылок покажет серверы, на которых установлен искомый скрипт. Но все это только в теории. На практике ситуация может быть не очень красивой. Представь, что помимо бажной голосовалки существует еще один скрипт vote.php, который более распространен, нежели предыдущий. И что же, прикажешь бедному хакеру перерывать тысячи запросов Google и искать нужный? Вовсе нет . Достаточно отфильтровать левые ссылки с помощью добавочной подстроки. Скажем, если ненужному скрипту передается еще один параметр client=номер, достаточно дописать в окно с запросом ключевое слово -client, и взломщик уже не увидит тех ссылок, которые ранее надоедали хакерскому глазу . В такой ситуации важно найти коренное отличие, которое затем задается в виде исключающего слова. Кстати, таких слов может быть несколько, что еще раз доказывает мощность поисковика. Многие хакеры и простые скрипткидисы часто бродят по Гуглу в поиске очередной жертвы. По некоторым признакам они сами тестируют скрипты на общеизвестные баги и тем самым проводят атаку. Я не буду перечислять список ошибок, а лишь приведу простой пример. Ты знаешь, что большинство cgi-скриптов, подключающих txt-файлы, делают это через функцию open(). Таким образом, в некоторых сценариях хакер может легко подключить файл /etc/passwd либо вообще вывод /usr/bin/id (все зависит от его фантазии ). Как ты думаешь, каким способом взломщик находит подобный баг? Я тебе отвечу не задумываясь – через google.com. Недоброжелатель просто вводит в поисковое окно запрос «filetype:cgi inurl:txt», и, если нужно, еще несколько признаков. В ответ поисковик возвращает тысячи ссылок с сотнями уязвимых скриптов. А ведь я привел пример лишь с cgi и txt. Если учитывать бажный инклуд html-файлов, а также то, что скрипты могут иметь расширения pl, php и asp, то число найденных ссылок будет стремиться к бесконечности. Не забывай, что база Google регулярно обновляется, и не исключено, что набор линков, показанных сегодня, будет отличаться от завтрашних ссылок. Нередко хакеры выбирают для взлома серверы в определенной зоне. Скажем, захотелось спамеру Пете найти французский прокси-сервер. Но вот беда, на всех публичных источниках он не обнаружил анонимного проксика. Пришлось просить помощи у google.com. Петр зашел на Гугл и ввел в окно запроса «powered.by.phpBB site:fr». Поисковик выдал пару сотен ссылок на французские ресурсы со старой версией форума, и уже через полчаса негодяй Петя активно спамил интернет через безопасный прокси-сервер. И все благодаря силе Google. Часто бывает, что хакеры выкладывают в public-источник эксплойты для определенной версии Web-сервера. А те, кто решился его заюзать, лезут на Google и ищут уязвимые релизы через ответы поисковика. Как они это делают? Очень просто! Злоумышленники пользуются директивой intitle, которая указывает на информацию, расположенную в заголовке страницы. К примеру, чтобы найти все серверы под управлением Apache 2.0.48, необходимо сформировать условие intitle:index.of Apache/2.0.48. И еще один твик, которым пользуются хакеры. Можно использовать поисковик для обнаружения определенного скрипта, который установлен в фиксированном каталоге. Например, взломщик хочет отыскать скрипт аукциона main.php и точно знает, что сценарий находится в папке /myauction. Запрос будет выглядеть следующим образом: «allinurl:/myauction/main.php».
Средства автоматизации
Не так давно несколько добрых людей написали замечательную утилиту, которая автоматизирует процесс поиска. Точнее, делает его удобнее. Теперь любой желающий может искать нужные ссылки прямо в консоли. Достаточно скомпилировать сишный файл http://packetstormsecurity.nl/UNIX/audit/lgool.c и запустить бинарник с параметром поискового запроса. Радует, что эта утилита поддерживает прокси и легко портируется под многие системы. Я думаю, ты убедился, что Google-hack можно выделить в отдельное течение. Уж очень много людей пользуется поисковиком в корыстных целях. Существует целый ресурс http://johnny.ihackstuff.com/, который содержит множество поисковых запросов для нахождения уязвимых страниц. Обязательно посети этот сайт и, быть может, откроешь для себя много нового. Кстати, чтобы автоматизировать свои действия, необходимо заключить специальное соглашение с Гуглом. Внимательно почитай текст wwwgoogle.com/terms_of_service.html и все поймешь сам.
Защити свой ресурс!
Владеть информацией о взломе с помощью Google – это, конечно, здорово. Но нужно научиться защищаться от хакеров, которых хлебом не корми – дай что-нибудь поломать. А для защиты требуется знать три простых правила.
1. Запрещение индексирования сайта.
Никакой поисковый ресурс не будет индексировать сайт без разрешения владельца. Но бывает всякое: то какой-то недоброжелатель вывесит на своем сайте линк на сторонний ресурс, то подпишет его в google.com. Если ты наотрез отказываешься от индексирования, просто создай в корне своего сайта файл robots.txt. В нем напиши две строки:
User-agent: *
Disallow: /
Теперь Google и все остальные поисковики перестанут заносить в базу страницы с твоего сайта. Все подобные системы обладают искусственным этикетом. Они ищут, перечитывают файл robots.txt и подчиняются его содержимому. В моем примере описывается запрещение индексации всего ресурса для всех User-Agent’ов.
2. Отказ от индексирования ресурса.
Можно пойти другим путем для отказа от индексирования страниц сайта. Зайди на страницу wwwgoogle.com/remove.html и оформи заявку на отказ от использования поисковика. Правда, от тебя потребуется доказать, что ты являешься хозяином сайта. Для этого нужно вставить на определенную страницу некоторые тэги. Только тогда Google перестанет индексировать твой ресурс.
3. Самое простое правило.
Чтобы не стать добычей для хакеров, возьми себе за правило: не храни на сервере важной информации, даже если тебе кажется, что она достаточно хорошо защищена. Используя Google, хакер легко обнаружит нужный документ, который вполне может оказаться конфиденциальным. Помимо этого, старайся не использовать публичных и незащищенных скриптов – они могут подвести тебя в самый неподходящий момент.
Примеры некотрых запросов на гугле:
Оператор Описание Требует дополнительного параметра?
site: поиск только по указанному в search_term сайту да
filetype: поиск только в документах с типом search_term да
link: найти html страницы, содержащие ссылку на нет указанную html страницу search_term
cache: вывести кэшированную версию для ссылки нет search_term
intitle: найти страницы, содержащие search_term нет в заголовке
all intitle: найти страницы, содержащие все слова нет search_term в заголовке
inurl: найти страницы, содержащие слово нет search_term в своем адресе
all inurl: найти страницы, содержащие все слова нет search_term в своем адресе
Приведу несколько запросов, с помощью которых хакер без труда добывает нужную информацию. Естественно, что только Google помогает ему в этом нелегком деле.
Index.of master.passwd – поиск паролей во FreeBSD
Index.of /admin – почувствуй себя админом!
Index.of ws_ftp.ini – а теперь найдем конфиг для WS_FTPD
Index.of "amount.xls" – или важную банковскую базу
filetype:sql inurl:users – кстати, о базах...
intitle:Usage Statistics for Generated by Webalizer – смотрим статистику
intitle:Index of dbconvert.exe chats – а также логи ICQ-чата
site:jp filetype:pl inurl:txt – это мы уже проходили. Special for Japan
filetype:php inurl:file – поиск инклуд-файлов к PHP
inurl:main.php Welcome to phpMyAdmin – дырявый phpMyAdmin
site:gov inurl:Confedential filetype:pdf – под грифом «Совершенно секретно»
inurl:number filetype:asp – ищем SQL-инжекцию в ASP-скриптах
Немного сладкого. Попробуйте сами что-нибудь из следующего списка:
1. #mysql dump filetype:sql - поиск дампов баз данных mySQL
2. Host Vulnerability Summary Report - покажет вам какие уязвимости нашли другие люди
3. phpMyAdmin running on inurl:main.php - это заставит закрыть управление через панель phpmyadmin
4. not for distribution confidential 5. Request Details Control Tree Server Variables
6. Running in Child mode
7. This report was generated by WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – может кому нужны кофигурационные файлы файрволов? smile.gif
10. intitle:index.of finances.xls – мда....
11. intitle:Index of dbconvert.exe chats – логи icq чата
12. intext:Tobias Oetiker traffic analysis
13. intitle:Usage Statistics for Generated by Webalizer
14. intitle:statistics of advanced web statistics
15. intitle:index.of ws_ftp.ini – конфиг ws ftp
16. inurl:ipsec.secrets holds shared secrets – секретный ключ – хорошая находка
17. inurl:main.php Welcome to phpMyAdmin
18. inurl:server-info Apache Server Information
19. site:edu admin grades
20. ORA-00921: unexpected end of SQL command – получаем пути
21. intitle:index.of trillian.ini
22. intitle:Index of pwd.db
23. intitle:index.of people.lst
24. intitle:index.of master.passwd
25. inurl:passlist.txt
26. intitle:Index of .mysql_history
27. intitle:index of intext:globals.inc
28. intitle:index.of administrators.pwd
29. intitle:Index.of etc shadow
30. intitle:index.of secring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini
33. intitle:index of intext:connect.inc
34. intitle:Index of .htpasswd htpasswd.bak
35. intitle:Index of .htpasswd htgroup -intitle:dist -apache -htpasswd.c
36. filetype:htpasswd htpasswd
37. filetype:xls username password email
38. filetype:properties inurl:db intext:password
39. filetype:inc intext:mysql_connect
40. filetype:cfm cfapplication name password
41. intitle:index.of.etc
42. egg filetype:user user
43. intitle:Index of config.php