Mit Google Lecks in Websites findenSchwachstellensuche
Risiko auch für kleine Sites
Mit Google Lecks in Websites finden
In Ausgabe 8/2006 der Internet Professionell haben Sie unterschiedliche Befehle und Tools kennen gelernt, mit deren Hilfe Sie Googles Spider gezielt auf Ihrer Website steuern. Der vorliegende Workshop wendet sich nun Sicherheitsrisiken in Verbindung mit Suchmaschinen zu. Die Autoren zeigen Ihnen, wie Hacker vorgehen, um über Google geheime Informationen zu erlangen, und wie sie sich Zugriff zu geschützten Bereichen einer Site verschaffen und Installationen von Web-Anwendungen ausfindig machen, um diese später zu hacken.
Auch Besitzer kleinerer Sites mit einer überschaubaren Anzahl statischer Seiten sollten sich bei diesem Thema nicht zu sicher fühlen. Ihre Site ist womöglich nicht interessant, um geheime Informationen zu erlangen. Vielleicht ist aber Ihr Webserver interessant zur Zwischenspeicherung von illegalen Daten oder als Ausgangspunkt für Spam-Attacken. Dazu müssen Hacker nur eine Schwachstelle in der verwendeten Software finden, und schon ist das System anfällig für Attacken.
Deshalb lesen Sie in diesem Artikel, wie Sie Ihre Website effizient auf Sicherheitsrisiken untersuchen und welche Alternativen Sie zur Eliminierung der Probleme haben. Außerdem erfahren Sie, welche generellen Sicherheitsmaßnahmen jeder Webserver-Administrator beachten sollte, um unabhängig von der eingesetzten Software sicherer vor Angriffen zu sein.
Suche nach Diensten
Mit Google Lecks in Websites finden
Sie werden überrascht sein, welche Informationen sich bereits hinter dem Domain-Namen verbergen. Bei der reinen Suche mit dem Befehl site und der Eingabe Ihres URLs bekommen Sie alle Seiten angezeigt, die Google über Sie gespeichert hat. Schließen Sie nun alle Seiten aus, die direkt auf www.meineseite.de verweisen, so erhalten Sie alle Sub-Domains des URLs. Viele Dienste nutzen genau diese Gruppierungsmöglichkeiten für einen schnelleren Zugriff. Der Befehl site:internet-pro.de -site:www.internet-pro.de offenbart so beispielsweise, dass die Internet Professionell innerhalb ihrer deutschen Website ein Weblog betreibt und die Listings zum Heft auch über einen separaten Link anbietet.
Eine weitere Möglichkeit, direkt nach aktiven Diensten zu suchen, ist die Titelzeile. Viele Administratoren lassen die Titelzeile einer webbasierten Anwendung bei der Installation unverändert. Daran ist natürlich nichts auszusetzen, solange die Applikation lediglich für ihr lokales Netzwerk bestimmt ist. Durch falsche Konfiguration des Proxyservers oder der Firewall sind die Dienste aber unter Umständen auch im Internet sichtbar. Eine Suche über bestimmte Schlüsselbegriffe führt meist nicht zum Ziel, Erfolg versprechend ist jedoch die Suche nach der Titelzeile mit Hilfe des Befehls inurl.
Beliebte Ziele für diese Art von Suche sind beispielsweise Printserver, Netzwerkdrucker, Webkameras oder auch Webclients von E-Mail-Programmen. Die meisten dieser Applikationen sind zwar durch Benutzer-Login und Passwort geschützt. Wenn dieses jedoch zu einfach gewählt wurde und der Administrator-Account unter dem gleichen Namen noch existiert, reichen ein einfaches Skript und eine Datenbank mit Begriffen bereits aus.
Dies sind nur Beispiele, jedoch keine Ausnahmen. In der Datenbank von Johnny Long finden Sie in der Rubrik Various Online Devices insgesamt 179 Beispiele (johnny.ihackstuff.com/index.php?module=prodreviews&func=reviewsbycat&reviewsel=18).
Sichtbare Verzeichnisstrukturen
Mit Google Lecks in Websites finden
Auf Grund von Fehlkonfigurationen des Webservers ist es zum Teil möglich, direkt auf Verzeichnisse zuzugreifen. Dies ist entweder auf eine fehlende Index-Datei oder falsch konfigurierte Zugriffsrechte zurückzuführen. Ob auch Ihre Webpräsenz davon betroffen ist, können Sie mit Hilfe des Befehls intitle:index.of “parent directory” und einer Einschränkung der Ergebnisse auf Ihre Site überprüfen.
Wenn erst einmal ein Einstiegspunkt in die Dateistruktur gefunden ist, fällt das Navigieren durch die Verzeichnisse deutlich leichter. Zum Teil sind bei einer solchen Fehlkonfiguration auch weitere, benachbarte Verzeichnisse betroffen.
Ansonsten hilft ein wenig Experimentieren mit unterschiedlichen Begriffen – beispielsweise hinterlassen verschiedene Programme in der Standardimplementierung LOG- oder BAK-Dateien. Eine einfache Suche mit intitle: index of filetype:bak oder intitle:index of filetype:log liefert weitere interessante Informationen im Klartext.
Meist enthält die Verzeichnisübersicht darüber hinaus auch noch Informationen zum eingesetzten Webserver und der installierten Version.
Login-Seiten
Mit Google Lecks in Websites finden
Dienste, die auf einem Webserver laufen, wecken auch immer wieder das Interesse der Google-Hacker. Sollten Sie also bereits ein WCMS, ein Webmail-System oder ähnliche Anwendungen laufen haben, dann sollten Sie auf jeden Fall die Standardtexte auf der Einstiegsseite und den Titel der Seite ändern. Genau hier setzen nämlich die Hacker an.
Eine Standardinstallation des Web-Access für Microsoft Outlook finden Sie beispielsweise über allinurl:” exchange/logon.asp”, den Tomcat Server über intitle: “Tomcat Server Administration” oder die Einstiegsseite für ein Mambo-CMS mit inurl:administrator “welcome to mambo”. Die Liste lässt sich noch beliebig weiterführen. Da Sie selbst am besten wissen, welche Skripts, Dienste oder Programme Sie nutzen, sollten Sie diese bei Ihren Tests auch berücksichtigen. Hilfestellungen zu diesem Thema finden Sie wiederum in der Datenbank von Johnny Lang in der Rubrik Pages containing login portals (johnny.ihackstuff.com/index.php?module=prodreviews&func=reviewsbycat&reviewsel=17).
Benutzer und Passwort
Mit Google Lecks in Websites finden
Seit Jahren bekannt, aber immer noch teilweise zu finden ist der Fehler innerhalb älterer Versionen der MS Frontpage Server Extensions. Hier sind die Benutzer in Klartext und die Passwörter leicht verschlüsselt auf dem Server abgelegt und einfach herunterzuladen. Falls Sie die Frontpage Extensions nutzen und prüfen möchten, ob auch Ihre Passwörter diesem Risiko ausgesetzt sind, geben Sie einfach den Suchstring ext:pwd inurl:_vti_pvt inurl:(service | authors | administrators ) ein. Vergessen Sie jedoch nicht, ihn auf Ihre Website einzuschränken. Hat die Suche für Ihre Site ein positives Ergebnis gebracht, so haben Sie nun eine Datei mit Benutzernamen und verschlüsselten Passwörtern vor sich. Der durch die Verschlüsselung noch bestehende Schutz ist schnell aufgehoben – zum Entschlüsseln der Passwörter kursieren im Internet diverse Programme. Sind die Informationen erst einmal frei zugänglich, so ist auch der Zugriff auf die Applikationen, die auf diesen Server laufen, für jeden möglich.
Wege aus dem Dilemma
Mit Google Lecks in Websites finden
Nun haben Sie sich ein Bild gemacht, welches Wissen Google über Sie gesammelt hat und wie einfach es Hackern gelingt, Schwachstellen Ihrer Infrastruktur ausfindig zu machen.
Im nächsten Schritt kümmern Sie sich darum, die Lücken zu schließen und es den Hackern so schwer wie möglich zu machen, auf Ressourcen Ihres Unternehmens zuzugreifen, sich die Schwachstellen Ihrer eingesetzten Produkte zu Nutze zu machen und unbefugt Zugriff auf Informationen zu erhalten, die nur für den internen Gebrauch bestimmt sind.
Als Erstes sollten Sie sich in regelmäßigen Abständen ein Bild über Probleme und neue Sicherhei
tslücken Ihrer eingesetzten Produkte verschaffen. Dies können Sie entweder direkt auf den Support-Seiten der Software-Anbieter erledigen oder aber in bestimmten Archiven wie Frsirt (www.frsirt.com/english), die sich darauf spezialisiert haben, akute Sicherheitslücken zu publizieren.
Taucht Ihr Produkt dort zu oft auf, sollten Sie sich überlegen, ob es nicht eine Alternative mit dem gleichen Funktionsumfang und weniger Problemen gibt. Hacker konzentrieren sich bei ihren Angriffen darauf, möglichst in kurzer Zeit erfolgreich zu sein. Weniger bekannte Produkte gilt es erst einmal auf Schwachstellen zu erforschen, und das ist zeitintensiv.
Als Nächstes sollten Sie, wo immer es möglich ist, die Standard-Installationspfade Ihrer Skripts ändern. Wie Sie in den obigen Beispielen gesehen haben, sind diese meist Bestandteil der Suche. Gleiches gilt für die Seitentitel und die Hauptinhalte von Logon-Seiten, da viele Abfragen auf die Befehl intitle oder auf bestimmten markanten Daten der Seite beruhen.
Sicherheit und Aufräumaktionen
Mit Google Lecks in Websites finden
Linux- und Unix-Umgebungen benötigen bei der Installation von Programmen oft komplette Zugriffsrechte auf die Verzeichnisstruktur und setzen hier eine Änderung der Rechte auf Vollzugriff über chmod 777 voraus. Im laufenden Betrieb sind diese meist nicht mehr notwendig – eingeschränkte Rechte genügen für einen reibungslosen Betrieb. Falls möglich, schränken Sie, sofern dies Ihr Provider unterstützt, die Ausführung von PHP-Skripts auf die minimal benötigte Version ein. Damit wird es für Hacker auch schwerer, Skripts einzuschleusen, die auf neuen Funktionen aufsetzen.
Sie sollten Ihren Webserver nach Möglichkeit nicht dazu nutzen, neue Skripts auszuprobieren, von denen Sie nicht wissen, ob sie sicher sind und fehlerfrei funktionieren. Zur Erhöhung der Sicherheit sollten Sie in regelmäßigen Abständen überprüfen, welche Skripts aktuell auf Ihrem Webserver im Einsatz sind und ob diese auch wirklich genutzt werden.
Überwachung
Mit Google Lecks in Websites finden
Während erfahrene Google-Hacker darauf bedacht sind, dass man sie nicht entdeckt, gehen weniger erfahrene Datensammler zum Teil auch unbedachter vor. Durch das Austesten von URLs versuchen sie, an nichtöffentliche Informationen zu kommen. Bei Misserfolg quittiert dies Ihr Webserver bei Standardeinstellungen durch eine 404- oder eine 500-Meldung. Hierüber können Sie eine relativ einfache Überwachung aufbauen.
Kommen diese Meldungen gehäuft im Logfile vor, so lohnt sich ein genauerer Blick auf den Absender der Anfragen. Damit Sie nicht den Überblick über diese Aktivität verlieren, bietet sich für die Prüfung eine automatisierte Herangehensweise an. Es gibt eine Vielzahl von Skripts, die Ihren Webserver beziehungsweise die Log-Datei überwachen. Ein Beispiel ist der 404 Error Mailer (www.phpresource.de/inc/counthit.php?LKID=8029), eine auf PHP basierende Lösung.
Google-Cleaner
Mit Google Lecks in Websites finden
Hat Google trotzdem noch Informationen über Ihre Site im Cache, die Sie zwingend löschen wollen, so bietet der Suchmaschinenbetreiber online Tools zum Entfernen der Daten an. Dazu müssen Sie sich zunächst registrieren (services.google.com:8882/urlconsole/controller). Anschließend stehen Ihnen drei Funktionen zur Verfügung:
– Löschen von veralteten Links: Hier genügt die Eingabe des vollständigen URLs. Es stehen drei Varianten des Löschens zur Auswahl: komplettes Löschen, Löschen des Caches oder Löschen des Snippets.
– Löschen von Seiten mit Hilfe der robots-Datei: Speichern Sie eine Datei robots.txt im Root-Verzeichnis des Servers und geben Sie darin die Bereiche an, die gelöscht werden sollen. Geben Sie den kompletten Pfad auf die Datei an. Weitere Informationen dazu finden Sie auf der Google-Seite unter www.google.com/support/webmasters/bin/answer.py?answer=35302.
– Löschen von Seiten mit Hilfe von Metatags: Platzieren Sie auf der Seite, die Sie nicht mehr im Verzeichnis finden wollen, das Meta-Tag . Damit wird die Seite nicht mehr indiziert und die enthaltenen Links werden nicht mehr berücksichtigt. Es kann mit NoFollow als einzigem Argument auch lediglich die Indizierung der enthaltenen Links gestoppt werden.
Alle Verfahren führen laut Google nach drei bis fünf Tagen zum gewünschten Erfolg. Bitte beachten Sie jedoch, dass sich Google bei allen drei Varianten das Recht vorbehält, Ihre Site danach mindestens 180 Tage lang nicht mehr zu besuchen. Alle Änderungen, die Sie bis dahin vornehmen, bleiben also möglicherweise vor dem Googlebot verborgen. Die Inhalte, die Sie manuell entfernen wollen, sollten deshalb von gewisser Brisanz sein.