security - Blog S4A

googledorks

Googledorks ή αλλιώς Google hacks από το http://johnny.ihackstuff.com το ανακάλυψα τυχαία όταν έψαχνα για hacks στο google, το site του Johnny έχει μια θαυμάσια database γεμάτη από googledorks δηλαδή από τρόπους ανεύρεσης (Vulnerable) ευάλωτων συστημάτων που μπορεί να είναι κάποια ιστοσελίδα είτε πρόκειται για το CMS που χρησιμοποιεί ή για το server ή για οτιδήποτε άλλο που μπορεί να βρεθεί με απλά dorks.

OK mate και τι είναι το dork;

Googledorks είναι απλές αναζητήσεις μέσω του google με κοινές εκφράσεις που ξεκινούν με κάποια από αυτά,
intitle: inurl: intext: site: ext: define: maps: info: cache: froogle: book: phonebook: movie: stocks: weather: related: inanchor: link:
σε μια απλή μορφή χρησιμοποιείται κάπως έτσι
intitle:"powered by lighttpd" "fly light"

Η database του Johnny έχει τα παρακάτω.

Advisories and Vulnerabilities
Error Messages
Files containing juicy info
Files containing passwords
Files containing usernames
Footholds
Pages containing login portals
Pages containing network or vulnerability data
Sensitive Directories
Sensitive Online Shopping Info
Various Online Devices
Vulnerable Files
Vulnerable Servers
Web Server Detection

Στο johnny.ihackstuff.com μας δείχνει με ένα θαυμάσιο τρόπο πως λειτουργεί ο google και το τι μπορεί να βρει κάποιος μέσω αναζήτησης μιας και ο γούγλε τα καταχωρεί όλα και είναι διαθέσιμα για όλους.
Στο forum του μπορείτε να ρωτήσετε ότι απορίες έχετε.
Φυσικά το σημαντικότερο όλων είναι ότι μας δείχνει πώς να προστατευθούμε και πώς να κλείσουμε τρύπες που μπορεί να είναι το Α και το Ω για την ασφάλεια ενός site αλλά και για τα προσωπικά μας δεδομένα.

Στείλε το άρθρο στο

Πες το με δικά σου λόγια 229 Views April 15, 2008 (11:57AM)

Don’t panic is just an ad blocking

Είναι μεγάλη υπόθεση να ξέρεις το τι γίνεται στον υπολογιστή σου, αλλά δυστυχώς δεν μπορούμε να γνωρίζουμε το τι κάνουν στο background όλα τα προγράμματα που έχουμε εγκαταστήσει.

Προχθές θέλησα να δω κάτι στην html του blog μου πατάω στον firefox View -> Page Source και το μάτι μου αμέσως πέφτει σε ένα js.

<script language='javascript' src='http://127.0.0.1:1025/js.cgi?pa&r=16202'></script>

το οποίο δεν το είχα βάλει εγώ στην σελίδα, το κοιτάω καλά καλά και σκέφτομαι “shit man what is that” port 1025 αυτό είναι για email.

Συνδέομαι στον server ανοίγω το συγκεκριμένο αρχείο για να δω το js αλλά δεν υπάρχει μέσα στην html…

Τότε άρχισαν να με ζώνουν τα φίδια (τι στο καλό, από πού δημιουργείται αυτό το js.) Αρχίζω και ψάχνω όλα τα files και folders, δεν βρίσκω τίποτα.

Η επόμενη σκέψη είναι. (Με χάκεψαν!) Ανοίγω clamav βάζω να κοιτάξει για ιούς, ξεκινάω το chkrootkit, rootkit, τίποτα όλα καθαρά.

Ξανακοιτάω την source στην σελίδα και αποφασίζω να δω και την αρχική, τότε είναι που παθαίνω ένα νευρικό κλονισμό το js υπάρχει και σε αυτή την σελίδα, κοιτάω όλες τις σελίδες του site μου και σε όλες υπάρχει το js.

Όσοι ασχολούνται με δημιουργία ιστοσελίδων και τρέχουν κάποιον server μπορούν να καταλάβουν την αμηχανία και τον πανικό που με έπιασε.

Ξεκινάω να βλέπω logs μπας και ανακαλύψω κάτι, κοιτάω mail, ψάχνω όπου μπορώ να φανταστώ ότι μπορεί να έχει κάποια σχέση με αυτό το js, find και locate δεν μου βρίσκουν τίποτα. Μου έρχεται να σπάσω την οθόνη το πληκτρολόγιο και γενικά να τα διαλύσω όλα μπας και ηρεμήσω!

Οι ώρες περνάνε και δεν μπορώ να βρω τίποτα, τότε αποφασίζω να δω και σε ένα άλλο site το page source ..το ρημάδι το js βρίσκεται και σε αυτό το site!!!

Όπα ψυχραιμία τι παίζει εδώ αναρωτιέμαι, κοιτάω και άλλες ιστοσελίδες, σε όλες έχει αυτό το js.

ΟΚ πρέπει να ρωτήσω κάπου για να μπορέσω να βρω μια άκρη, γράφω σε μερικά forum για το πρόβλημα, απάντηση καμία. ???

Τότε αποφασίζω ότι έχω κόλληση κάποιο virus, βάζω το Norton να κάνει ένα scan τίποτα, κοιτάω με το spybot, εκτός από μερικά cookies δεν βρίσκει τίποτα άλλο.

Μου έρχεται η ιδέα να κοιτάξω το site με το laptop.. Γαμώτο και με το laptop υπάρχει αυτό το js!!!

Με έπιασε απελπισία, είμαι έτοιμος να βάλω τα κλάματα όχι ρε πούστη μου αυτά δεν συμβαίνουν ούτε στο σινεμά.

Πέρασαν 12 ώρες από τότε που ανακάλυψα το ρημάδι το js και δεν έχω μπορέσει να ανακαλύψω το παραμικρό από πού δημιουργείτε, ας ψάξουμε και με το google σκέφτομαι, καμιά 50 σελίδες εμφανίζονται με αυτό το search, και τότε βλέπω ένα forum όπου κάποιος έχει το ίδιο πρόβλημα “Javascript on all webpages when I view source”

Έχει Zone Alarm, έχω και εγώ Zone Alarm στο pc και στο laptop, χμμ σκέφτομαι.
Ανοίγω το Zone Alarm και θυμάμαι ότι πριν από μερικές μέρες είχα ενεργοποιήσει το ad blocking το κλείνω και πραγματικά σας λέω ότι δεν πρόκειται να το ξανανοίξω,
το js ως δια μαγείας εξαφανίστηκε.

Κάπως έτσι δημιουργούνται τα εγκεφαλικά και σε πιάνει η καρδία.

Ηρέμησα κάπως, τελικά σε ένα από τα forum που ρώτησα μου απάντησε ένα παιδί, και η απάντηση του μου δημιούργησε άλλα ερωτήματα. tespa.

Το js που με αναστάτωσε μπορείτε να το δείτε εδώ js.cgi.js.

Έτσι λοιπόν όσοι έχετε το Zone Alarm και δείτε στην page source το παραπάνω js μην ανησυχείτε είναι μόνο ένα ad blocking. Ίσως!

Στείλε το άρθρο στο