Ja mancher mag sich das wirklich fragen. Man erstellt sich eine eigene Seite anhand eines Tutorials oder ganz selbst oder man nutzt ein gängiges CMS und irgendwann wird man angegriffen. Nach dem ersten Schock stellt man sich dann meistens die eine Frage: Warum ich?

Diese Frage ist eigentlich ganz einfach zu beantworten: Weil du unsichere Software auf der Webseite benutzt. Bei den meisten Angriffen im Internet geht es nämlich nicht darum dem Webseitenbetreiber zu schaden, sondern um von dem Server des Seitenbetreibers Spam zu versenden, weitere Systeme anzugreifen oder auch Viren zu verteilen.

Angreifbare Systeme sind dabei meist sehr einfach zu finden. Dazu benötigt man nur die richtigen Patterns, mit der man die Google-Suche füttern kann. Für die selbst geschriebenen Seiten haben ich für das Projekt Der WebWart einen bereits einen entsprechenden Artikel geschrieben: Remote-File-Inclusion / Local-File-Inclusion – Warum ich?

Dort wird sehr einfach erklärt warum man auch mit einer eigenen Webseite schnell zum Angriffsziel für Remote-File-Inclusion und Local-File-Inclusion-Angriffe werden kann und was man dagegen tun kann. Allerdings fehlt noch ein Tipp in diesem Artikel: Parameter verstecken!

Man kann die URL einer Webseite so umschreiben, dass diese über eine Google-Suche, die zum Beispiel über die inurl-Suche gemacht wird, nicht als PHP-Script mit Parametern erkannt wird. Damit macht man dann aus ‘index.php?seite=start’ einfach ‘/start’ . Der Suchstring ‘inurl:php?page=home’ findet diese Seite dann einfach nicht mehr. Benötigt wird hierzu nur die installierte Apache-Mod mod_rewrite und eien entsprechende Regel. Das Modul wird ausführlich auf apache.org erklärt. Für das genannte Beispiel sähe es wie folgt aus:

RewriteEngine on
RewriteRule ^/(.*)$ /index.php?seite=$1

Aber nicht nur mit der Programmierung und dem Einsatz einer eigenen Software begibt man sich in diese Gefahr. Auch angreifbare CMS kann man über Google recht gezielt suchen. In zum Beispiel der exploit-db findet man jede Menge Angriffsvektoren und kann daraus sehr einfach Patterns für die Google-Suche bilden. Zum Beispiel für diesen Exploit: Joomla Component (com_sef) RFI

Über die Sicherheitslücke kann man ein beliebiges externes Skript in die Seite einbinden und damit sehr großen Schaden anrichten. Das Sicherheitsloch ist hier die Variable ‘mosConfig.absolute.path’ die zum includieren von Dateien im Joomla!-System verwendet wird. Man kann nun über Google gezielt nach Joomla!-Versionen suchen, die die Komponente com_sef einsetzen. Das geht so einfach, weil die Information mit in der URL drin steht ‘ption=com_sef’. Der Google-String sieht dann so aus:

inurl:'option=com_sef' + inurl:'mosConfig.absolute.path='

Direkt zu Google
Die Ergebnisse kann man dann über ein Script automatisiert durchlaufen lassen und findet damit sehr schnell die Angreifbaren Versionen heraus.
Ähnliches kann man machen um sich gezielt Content-Management-Systeme aus Google zu ziehen. Viele System verraten schon über die URL was Sie sind. So kann man WordPress-Installation über

inurl'wp-admin/index.php'

finden. Den Verzeichnis-Prefix ‘wp-’ verwendet sonst kein CMS. Gleiches funktioniert zum Beispiel auch für Joomla! mit

inurl'administrator/index.php'

Die meisten anderen CMS verwenden als Namen für das Administrationsverzeichnis ‘admin’, daher findet man darüber sehr eindeutig Joomla!-Installationen. Warum sind Angreifer interessiert an den Administrationsverzeichnissen? Ganz einfach: Auf die Anmeldeseiten kann man sehr leicht einen Brute-Force-Angriff starten. Die meisten CMS sind dagegen nicht abgesichert. Ist man als Angreifer dann einmal im Administrationsbereich drin, kann man sehr schnell Zugriff auf den ganzen Webspace/Server bekommen. Man platziert zum Beispiel einen Shell-Code in einer Template-Datei.

Goldene Regeln:

1. Benutzereingaben niemals ungeprüft weiter verarbeiten. Wenn man nur bestimmte Eingaben erwartet, dann sollte man diese auch Prüfen.
2. Benötigt man die Funktion um externe Dateien zu laden überhaupt? Wenn nicht kann man entsprechende Variablen für PHP abschalten. Für php4 ‘allow_url_fopen’ für php5 ‘allow_url_include’ und ‘allow_url_include’.
3. Versteckt eure Angriffsvektoren zum Beispiel über mod_rewrite.
4. Aktualisiert eure CMS regelmäßig. Das schlimmste ist eine Software die man hoffnungslos auf dem Webspace/Server veralten lässt.
5. Nehmt Dateien und Verzeichnisse die nichts in der Google-Suche verloren haben aus dem Index raus. Das könnt Ihr über eine robots.txt steuern oder gleich die ganze Datei oder das Verzeichnis mit eienr .htaccess für den Zugriff sperren.

Ja das funktioniert. Und ich habe es bei mir nun auch implementiert. Die Google-Suche. Zuverlässig wie die WordPress-Suche und kann sogar noch mehr. Die Ergebnisse werden zum Beispiel dynamisch auf der selben Seite angezeigt und auch die von Google gewohnte Autovervollständigung ist mit am Start.

Und das Tolle ist: Es ist ganz einfach. Man besuche einfach http://www.google.de/cse. Dort kann man sich den benötigten Quellcode für die eigene Suche einfachst zusammenklicken. Der Rest ist dann nur noch Kopieren und Einfügen.

Hier hatte ich das Thema Google-Url-Parameter bereits angesprochen. Hier ist nun endlich der 2. Teil mit weiteren nützlichen Parametern.

• as_filetype

Mit diesem Parameter kann man gezielt nach bestimmten Dateiendungen suchen. Damit kann man sehr gut, nach heiklen Daten suchen die Achtlos ins Internet gestellt wurden. Ein gutes Beispiel dafür ist der Dateityp txt:

http://www.google.de/search?q=password+username+accounts&as_filetype=xml

Direkt zu Google

• as_qdr

Das ist einer meiner wichtigsten Suchparameter. Er kann auch direkt in der URL angegeben werden. Damit beschränkt man die Suchbegriffe auf einen Bestimmten Zeitraum. Mögliche Werte:

• d – Die letzten 24 Stunden
• w – Die letzte Woche
• m – Der letzte Monat
• y -  Das letzte Jahr
• mn – So kann man die Anzahl der Monate noch spezifizieren. ‘n’ wird dabei durch die gewünschte Zahl ersetzt. ‘n3′ bedeutet Ergebnisse der letzten 2 Monate.

Mit dem Parameter kontrolliere ich unter anderem, was die letzte Woche neues über mich im Netz zu finden war. So wendet man ihn an:

http://www.google.de/search?q=%22googlesearchfoo.com%22&as_qdr=m

Direkt zu Google

• safe

Wie  ihr euch wahrscheinlich bereits denkt ist das die Safe-Search-Option aus der Google Benutzeroberfläche. Diese filtert angeschaltet Suchergebnisse mal mehr und mal weniger sinnvoll. Wer das nicht haben möchte kann auch direkt mit ausgeschalteter Filterfunktion auf Google zugreifen. Einfach Bookmarken wie folgt:

http://www.google.de/webhp?safe=0

Direkt zu Google

• filter

Diese Option verhindert das Ergebnisse zusammengefasst werden. Dabei versucht Google ähnliche Seiten nicht doppelt anzuzeigen. Dem Benutzer teilt man das mit folgender Nachricht mit:

Um Ihnen nur die treffendsten Ergebnisse anzuzeigen, wurden einige Einträge ausgelassen, die den 78 bereits angezeigten Treffern sehr ähnlich sind.

Um diesen Filter zu umgehen, wenn man zum Beispiel überprüfen will wie viele Ergebnisse eine Suche wirklich ergibt, kann man den Filter einfach mit dem Wert 0 aus schalten. Das sieht dann so aus:

http://www.google.de/search?q=test&filter=0

Direkt zu Google

• newwindow

Der Parameter ist auch sehr nützlich. Ich suche nämlich meist wie folgt:

1. Suchbegriff eingeben.
2. Interessante Suchergebnisse als neuen Tab öffnen.
3. Die Tabs durchgehen.

Jetzt muss ich immer darauf achten, die mittlere Maustaste zu verwenden oder die [STRG]-Taste gedrückt zu halten um einen neuen Tab zu öffnen. Das geht aber auch anders. Mit dem Parameter newwindow öffnen sich alle Links der Suchergebnisse als neuer Tab.

http://www.google.de/search?q=test&newwindow=1

Direkt zu Google

• lr

Der Parameter hat eine besonders wichtige Funktion. Viele kennen es. Man sucht nach einem englischen Begriff will aber eine Deutsche Erklärung oder einfach nur deutschen Text dazu. Mit diesem Parameter kann man die Sprache der Suchergebnisse wählen. Nicht ganz zuverlässig aber schon eine große Hilfe. Mögliche Werte:

Originalliste

Beispiel alle Suchergebnisse auf Deutsch:

http://www.google.de/search?q=test&lr=lang_de

Direkt zu Google

• cr

Der Parameter ist ähnlich zu lr. Nur bestimmt man hier nicht die Sprache der gewünschten Seiten, sondern die Herkunft. Mögliche Werte:

Originalliste

Beispiel für alle Ergebnisse aus Deutschland:

http://www.google.de/search?q=test&cr=countryDE

Direkt zu Google

So, das war es jetzt erst einmal für mich und die Google Suchparameter. Ihr sucht selbst noch einen Parameter und wisst nicht wo Ihr schauen könnt? Oder Ihr braucht Tipps zur Verwendung eines Parameters? Fragt einfach hier als Kommentar nach. Evtl. schreibe ich dazu dann demnächst einen eigenen Post.

Ja das geht tatsächlich. Und das ist nicht mal schwer. Wenn man als Skript daher kommt muss man Google lediglich sagen, das man eben keines ist. Das macht man ganz einfach über den User Agent.

Während man auf

wget 'http://google.de/search?q=meinSuchBegriff&filter=0'

einen 403 Status-Code zurück bekommt, erhält man bei

wget 'http://google.de/search?q=meinSuchBegriff&filter=0' --user-agent 'Mozilla/4.0'

die korrekte Antwort von Google. Das gleiche Ergebnis erzielt man mit curl so:

curl --location --user-agent 'Mozilla/4.0' 'http://google.de/search?q=meinSuchBegriff&filter=0'

Auswerten kann man die Rückgabe dann einfach mit Regexen (alle Links aus dem Ergebnis ziehen) oder in PHP-CLI mit SimpleHTMLDom. Einfach so einlesen:

$HTML = str_get_html($response);

Die Links der Suchergebnisse findet man dann so:

$results = $HTML->find("a[class=l]");

Für das seitenweise Springen in den Google-Ergebnissen nutzt man dann einfach den Google-Parameter ‘start’, bei 10 Ergebnissen pro Seite wird der einfach mit jedem Lauf um 10 erhöht. Und dann weiß man auch wann Schluss ist. Wenn die Seite keine 10 Ergebnisse mehr hat.

Ja, pastie.org ist praktisch. Mit wenigen Klicks kann man dort Textdateien erstellen und diese an beliebig viele Menschen weitergeben. Es gibt sogar so tolle Funktionen wie Syntax-Hightlighting.

Ein weiteres tolles Feature ist dass alle Dokumente, welche nicht explizit als privat markiert wurden in Google zu finden sind. So findet man dort Chat-Protokolle, E-Mail-Verkehr, interessanten Quellcode von irgendwelchen Programmieren und Zugangsdaten zu diversen Webseiten.

Letztere sind sogar relativ einfach zu finden. Hier ein Beispiel für Wer-Kennt-Wen-Zugangsdaten:

site:pastie.org “wer-kennt-wen.de”

Direkt zu Google
Klar muss man in den Ergebnissen ein wenig suchen, aber ich bin mir sicher Ihr findet hier auch jede Menge funktionierende Zugangsdaten

Aber woher kommen diese Daten? Wenn man sich einmal mehrere Dateien Anschaut, dann sieht man, dass das Format immer relativ gleich ist. Diese Listen sind also über Programme bzw. in diesem Fall Trojaner erzeugt worden. Die Besitzer der entsprechenden Accounts haben sich also einen Trojaner eingefangen, der fröhlich alle Zugangsdaten die der Besitzer auf Webseiten eingibt mitlogt und diese dann irgendwann an einen zentralen Server weiter gibt. Wie gesagt, pastie.org ist ja so praktisch.

Einer der derzeit meist verbreiteten Vertreter unter den Trojanern ist “ZeuS”: 1&1 schützt Internetnutzer vor Trojaner ZeuS

Ich empfehle diese Suche mal mit eurem eigenen Benutzernamen zu machen. Falls Ihr was findet:

• Den Virus suchen und entfernen
• Wenn kein Virus gefunden werden kann, den Computer neu installieren
• Alle Passwörter, die an dem PC genutzt wurden ändern

Im folgenden erkläre ich die Google-URL-Suchparameter. Im Original sind diese hier zu finden: http://www.google.com/cse/docs/resultsxml.html

Die Grund-URL ist hierbei immer http://www.google.com/search? die weiteren Parameter werden in der Form Parameter=Wert angehangen und mit & verknüpft. Also zum Beispiel http://www.google.com/search?q=parameter&ql=de für die Suche nach “parameter” in “de” (Deutschland).

In der URL muss das ein oder andere Zeichen encodiert werden, damit es korrekt dargestellt wird. Davon sind unter anderem Umlaute betroffen. Mit der folgenden Suche findet Ihr einige nützliche Programme mit denen Ihr die Zeichen korrekt encodieren könnt: http://www.google.de/search?q=url+encoder

Diese Parameter können zum Beispiel für automatisierte Suchen verwendet werden.

Die Suchbegriff-Parameter (q, as_epq, as_lq, as_oq, as_q, as_rq)

Mindestens einer der folgenden Parameter muss angegeben werden.

• q

Dies ist das Feld, in welches der Benutzer, unter google.com seinen Suchbegriff eingibt.

Beispiel für die Suche nach dem Begriff “Parameter”:

http://www.google.com/search?q=Parameter

• as_epq

Definiert Frasen die im Suchergebnis vorkommen müssen. Bei der einfachen Eingabe von “Google” und “Suche” wird nach beiden Begriffen unabhängig voneinander gesucht. Wenn man allerdings “Google Suche” eingibt, muss die gesamte Phrase genauso gefunden werden. Genau dies macht der Parameter as_epq.

Beispiel für die Suche nach der Phrase “google suche”:

http://www.google.com/search?as_epq=google+suche

• as_lq

Sucht nacht Seiten, welche einen Link zur angegebenen Seite enthalten.

Beispiel für die Suche nach Seiten mit Links zu “www.google.de”:

http://www.google.com/search?as_lq=www.google.de

• as_oq

Oder Verknüpfung in der Suche. Die angegebenen Begriffe oder Phrasen (Mit Leerzeichen getrennt) werden mit einer oder-Verknüpfung gesucht. Die Ergebnisse müssen also entweder $Begriff1 oder $Begriff2 enthalten.

Beispiel für die Suche nach dem Begriff “urlaub” und entweder “paris” oder “london” :

http://www.google.com/search?q=urlaub&as_oq=paris+london

• as_q

Angabe von Suchbegriffen (Prinzipiell also per & mit den anderen Such-Parametern verknüpft).

Beispiel für eine Suche nach dem Begriff “Nintendo” und “SNES”:

http://www.google.com/search?q=Nintendo&as_q=SNES

• as_rq

Gibt Ergebnisse für Verwandte (ähnliche Seiten aus).

Beispiel für eine Suche nach ähnlichen Seiten wie “google.com”:

http://www.google.com/search?as_rq=google.com

• as_sitesearch

Für die Suche nach Ergebnissen von dieser Domain (Internetseite).

Beispiel für die Ausgabe aller Seiten von der Domain blog.nippelzwerge.de im Google-Suchindex:

http://www.google.com/search?as_sitesearch=blog.nippelzwerge.de

• as_dt

Gibt an ob der Sitesearch-Parameter von der Suche in- oder excludiert wird.

Beispiel für die Suche nach dem Begriff “exmon” auf allen Seiten ausser http://exmon.de:

http://www.google.com/search?q=exmon&as_sitesearch=exmon.de&as_dt=e

– Fortsetzung folgt –