Как взломать определенный сайт

Рассмотрим самые простые способы как взломать сайт или Гугл дорки на службе хакера.

СРАЗУ . В статье никакой конкретики — иначе сайт долго бы не просуществовал. Однако по блогу статей предостаточно, чтобы вы получили представление о том, как взломать сайт в сети . Не любой, ибо владельцы дураки не все. Но начать стоит именно с этой статьи.

Предисловие. Пока самые знаменитые хакерские группы порой очень даже успешно пытаются взломать сайт очередной насолившей только им компании, начинающему хакеру приходится довольствоваться призами первых побед от своей первой попытки попасть на чьё-либо электронное приват-пространство. Сейчас поговорим о том, с чего обычно начинает тот, кто хочет взломать сайт — тестирование сайта на уязвимость.

ПОПРАВКА

Если хакер собирается изрядно поднатореть во взломе веб сайтов, он скоро поймёт, что Google дорки — не есть исчерпывающий инструмент, который поможет отработать сайт. Использование методики поиска веб-ресурсов с брешью, выявляемой и индексируемой поисковыми системами, ограничено списком сайтов, которые подвержены конкретной уязвимости: поисковая выдача с количеством потенциально уязвимых сайтов всегда невелика. И самое главное: если хакер нацелен на конкретный сайт, его в списке дорков, скорее всего, не будет. А потому лучше сразу подготовиться к более основательным изысканиям по вопросам взлома сайта. Чтобы получить общее представление об этом, прочтите статью Взлом сайта: тактика и инструменты .

В сети регулярно появляются списки сайтов, которые являются уязвимыми для атак. На англоязычных просторах такие списки могут включать до десятков тысяч наименований. А как создаются вообще подобные списки? Ключевым моментом здесь является небезызвестный Google Dorks (Гугл Доркс или Гугл Дорки) — у меня на сайте об этом почти всё, ссылок не даю — воспользуйтесь поиском по сайту.

Google Dorking позволяет читающим список обнаруживать чувствительные к взлому данные или очевидные уязвимости по результатам запросов в поисковых системах, например, Google или менее известной российским пользователям Bing. Список и позволит хакеру ввести прямо в поисковой строке Google соответствующий поисковый запрос и обнаруживать конкретный сайт, на котором указанную уязвимость можно встретить и локализовать.
Вопреки устоявшемуся мнению, чтобы отыскать необходимую информацию, специальными техническими знаниями обладать не нужно. Хорошие ребята публикуют десятки таких списков Google Dorks, отсортированных по типу уязвимости, в котором вы лично тоже можете поднатореть. Вы в поиске файлов, содержащих пароли? Логины? Для этого и существует Гугл Доркс или в российском простонародье Дорки.

Почему это возможно?

Многие, даже маститые вебмастера, порой просто забывают/забивают факт того, что как только ресурс появляется в интернет-пространстве, поисковые роботы с разрешения и без него прошерстят его вдоль и поперёк. И поверьте, немногие из веб-пауков присматриваются к директивам, прописанным в файлах robots.txt или htaccess. Эти два — скорее специальные инструменты SEO оптимизации, но с точки зрения безопасности сайта или блога они (уж поверьте!) играют ОЧЕНЬ плохую шутку с админом, которому приходится балансировать между грамотной разработкой SEO направления и надёжной защитой.

Google Dorks (Гугл Доркс или Гугл Дорки) — Тупицы, какие есть в Гугл — вольный, но вполне оправданный перевод с английского.

Как взломать сайт — исследуем Гугл Дорки.

Гугл Дорки — специальным образом подобранные запросы, с помощью которых можно обнаружить нежелательные для них, но всё-таки открытые владельцами сайтов файлы или страницы для общего просмотра. Это своеобразные команды (чаще — многократные сочетания запросов, грамотно скомпонованные), которые приведут любознательного взломщика именно в то место, которое его на сайтах интересует. Однако сам список команд непредвзятому пользователю не скажет ничего. А для хакера наиболее важными при исследовании Дорков будут:

  • обнаружение уязвимого программного обеспечения
  • поиск файлов и директорий, которые должны быть сокрыты от глаз обычного пользователя
  • использование уязвимостей страниц и сообщений об ошибке и других системных огрех

Как взломать сайт — через уязвимости в ПО

С помощью Google без труда можно определить профиль веб-ресурса: программы, на которых сервер запущен, тип операционной системы и т.п. Очень много информации по этому поводу можно почерпнуть на сайте Netcraft.com . А вот когда Дорки становятся наиболее востребованными, это когда хакер точно знает, как работает сервер, и какие известные ошибки в ПО уже существуют.

Нередко запущенное программное обеспечение имеет неповторимые свойства, как отпечатки пальцев. Это объяснить человеку несведущему сложновато, для точной диагностики уже необходим мало-мальский опыт. Однако иногда ПО выдаёт себя само. Так, владельцы сайтов, использующие популярные движки и темы, нередко замечали его название в строке «Powered by…» или «Сайт находится под управлением…» Иногда даже номер версии не забывает указать. Такие записи на страницах прописаны автоматически при пользовании популярными темами или при установке ПО на сервер по умолчанию. И хотя для опытного хакера узнать версию и тип ПО не представляет порой особого труда, лишний раз светить такую информацию, которая поможет взломать сайт , я думаю, не стоит. Тем более, что удаляются такие строки очень быстро и без всяких для сайта последствий. Особенно, если вы меняете облик темы или же разрабатываете свою. Нетрудно пробежаться по коду страниц и шаблонов в поиске подобных строк, включая комментарии и метатеги. Не забывать всякий раз после обновления самой темы проверять, не появилась ли снова эта надпись.

Читайте также:  Бесплатные музыкальные приложения для айфона

Нередко секреты сайта может раскрыть содержимое тега . Несмотря на то, что открыто указующих надписей эта запись не содержит в принципе, оператор intitle: выдаст специфичный для ПО текст с потрохами. Так что если вы владелец сайта — обновляйтесь почаще, обновления выпускаются не зря.

Как взломать сайт — ищем открытые файлы и директории.

Ну, это настоящий лакомый кусочек для хакера. Получив сюда доступ, взломать сайт не представит большого труда. Незащищённые директории — что может быть легче? И логика здесь проста.

В каждом случае, когда веб сервер получает к себе запрос, в котором содержится имя какой-то директории (реже название конкретного файла), сервер будет искать создаваемый по умолчанию index файл — известный всем владельцам ресурсов под названием index.html или какой-то набор стандартных файлов, зависящий от конфигурации сервера. А вот если он его не находит (не знаю почему вы забыли его включить в состав директории), сервер вернёт в ответ на запрос…что? Правильно! Услужливо выдаст список всех директорий и файлов, которые будут к тому же интерактивны.

Серверы используют стандартные условия, и потому такие дыры легко обнаруживаются. Вот как, например, можно выудить из сети определённый тип файлов, где может содержаться важная информация о сайте (она хранится в привычных текстовых файлах типа txt, docx, pdf), при этом минуя основное , видимое всем и потому хакеру неинтересное содержимое типа страниц в формате html, htm, кода php и т.д.:

Для более детального поиска, чтобы взломать сайт конкретного пользователя, хакеру достаточно дополнить команду запросом типа

Уделив этому моменту внимания, вы удивитесь, как немало сайтов открывают доступ к столь ценным данным, файлам, содержащим в себе порой даже регистрационные данные.

Наиболее часто подобные запросы применяются для поиска чего-то бесплатного. Так, самые популярные и простые запросы на поиск «скрытой» директории обычно включают:

Подобные запросы выдают движок сервера. Остаётся:

  • проверить новенькие уязвимости на https://www.cvedetails.com/ для версии Apache
  • подобрать и наладить метасплойт

Не взломать, так хоть украсть…

Кстати, подобные запросы прекрасно работают и по сей день, если вы собираетесь что-то скачать на компьютер, минуя какие-то препоны, установленные администрацией сайта: регистрация, очередь скачивания, ожидание с просмотром рекламы и т.д. Неважно, что вы ищите — музыку или образ Windows: составьте свой запрос самостоятельно (гигабайты mp3 или «крякнутые» или «запароленные» версии всех систем):

Однако «хакеру» и самому придётся быть начеку, ибо дорки порой сами включают в себя ссылки на сайт, который оказывается обычной приманкой как сыр в мышеловке. Но в любом случае, даже если сайт закрывает доступ к жизненно важным директориям, однако директории с медиафайлами открыты для доступа, хакер уже способен взломать сайт , представив общую картину как сайт устроен, какие файлы к чему относятся и т.д. Но да ладно… Вот как может выглядеть путь к папке администратора сайта:

Подобные проблемы решаются обычно очень просто. Просто возьмите за правило иметь в каждой директории и под директории свой отдельный файл index.html. Пусть он будет пустым, лишь бы сервер возвращал именно его. Я обычно заполняю такой файл простой ссылкой на главную страницу сайта.

Как взломать сайт — скрипты.

Некоторые файлы попадают под общий обзор по ошибке. Некоторым скриптам разрешается вести лог событий. Так что если вы счастливый обладатель ПО, позволяющего, скажем, проверить в режиме онлайн нагрузку на сайт, убедитесь в том, что страницы содержащие в себе отчёты, сохранены в запароленных папках.

Тоже самое касается и страниц ошибок, возвращаемых сервером браузеру хакера. Там содержится немало информации, полезной для того, кто пытается взломать сайт . Так, если при появлении какой-то ошибки веб-сайт выдаёт кусок (порой немалый) кода, Google старательно его тоже индексирует, раскрывая секреты сторонним наблюдателям. Веб разработчиками применяется небезызвестная функция phpinfo для того, чтобы просмотреть, что не так с кодировкой сайта. Эта функция может много рассказать профессионалам по обе стороны баррикады. Просто для справки, взгляните и вы на возможности функции отладки. Проверьте в Google:

Но многие виды ПО отображают стандартный (потому легко находимый) сценарий сообщения, если сталкиваются с какой-либо ошибкой в процессе работы. Посмотрите на результаты поиска:

Сообщения об ошибках, подобные этой, могут нести в себе информацию о базе данных, стилях, именах пользователей…вобщем, почву для SQL инъекций. Скриптовые системы типа PHP, ASP могут генерировать ошибки, из которых можно выудить структуру каталогов и папок на сайте, названия скрипт-файлов и кое-что ещё полезное и достаточное, для того, чтобы взломать сайт . Иногда на руку взломщику играет и полезная функция в Google, которая кэширует страницы сайта и отображает обнаруженные и сокрытые системным администратором (но уже проиндексированные Гуглом) огрехи в безопасности.

Как взломать сайт — выводы

Дорки учат нас самому главному: если часть информации вам непонятна и недоступна в силу пробелов в ваших знаниях — это потенциальная угроза сайту. Даже если дорки и не содержат какой-то конкретики, они подскажут хакеру, откуда начать, чтобы взломать сайт . Попробуйте вот этот запрос:

Читайте также:  Заданы длины отрезков укажите

и вы увидите недоступные для перехода с общественных сайтов стороны веб ресурсов. Если вы являетесь администратором ресурса муниципального или государственного учреждения, не позволяйте уж так просто разбрасываться документами, которые можно легко найти с помощью запроса:

Как взломать сайт — присмотритесь к автоматизированным инструментам взлома

  • Работа с дорками в ручном режиме — удел точечной атаки на конкретный сайт , на который хакер точит зуб уже давно. Для начинающих и пробующих свои силы существуют инструменты автоматического поиска уязвимостей с помощью Google. Один из них существует у самой Google. Он, кто ещё не знает, известен как GoogleHacks:

Если вы всё для себя решили, с этого и начните. Это основы.

Активность хакеров никогда не сходит на нет. Например, только по данным одного хакерского сайта zone-h.org (см. раздел Onhold), взламываются ежедневно сотни сайтов. Вашего сайта там точно нет?

Для взлома не надо быть профессиональным хакером, речь в статье о так называемых «кулхацкерах», использующих плоды чужих «трудов» и самых простых случаях взлома. Статья ни в коей мере не howto, как взломать сайт. Цель — показать, насколько просто осуществляется взлом и рекомендовать меры по защите сайта и действия, в случае взлома «косовскими албанцами».
Приведён пример успешного розыска хакера российскими правоохранительными органами.

Как осуществляется взлом сайта?

Наиболее распространённые пути проникновения на сайт:

  • перебор простых паролей доступа к админке/ftp («имя домена», 12345, admin, test и т.п.) — большое число взломов, как ни странно, происходит именно так;
  • использование уязвимостей скриптов (CMS и модулей).

Поясню на примере Joomla + CKForms. Чтобы не вводить в искушение, не публикую ссылку на описание, слишком уж просто им воспользоваться, но и найти несложно. Уязвимости в модуле CKForms позволяют выполнить SQL-инъекцию или PHP-инклюдинг, и, путём несложных манипуляций, получить доступ к админке. Использование уязвимости осуществляется через простой запрос в адресной строке браузера.

Дело буквально пяти минут и не требует серьёзных знаний от взломщика. Дальнейшие шаги зависят от фантазии автора взлома — от неприятного дефейсмента, до уничтожения сайта и попытки захвата управления другими сайтами и сервером.

Я принимал меры, но как взломали сайт?

Как же на виртуальном хостинге хакер может получить доступ к другим сайтам, если все известные меры владельцем сайта предприняты? Ведь почти повсеместно доступ к площадкам сайтов разграничивается по логинам пользователей и, казалось бы, это должно обезопасить сайт от соседей.

Ограничимся одним случаем. Серьёзную опасность представляет запуск скриптов под модулем Apache, например mod_perl. Запуск скрипта в этом случае осуществляется под пользователем Apache, который имеет доступ к данным пользователей сайтов.
Хакер, как описано выше, получает доступ к площадке одного сайта. Затем осуществляется размещение консольного скрипта, например cgi-telnet. И если права на конфигурационные файлы сайтов других пользователей выставлены в 644 (или тем более 777!), из консоли несложно прочитать содержимое файлов с паролями. Но! Только если запуск perl-скрипта осуществляется под пользователем Apache, т.е. под mod_perl (аналогичная ситуация с mod_php). При работе, например, под FastCGI — такой способ не даст доступа к файлам. Защититься от этого можно, устанавливая на критически важные файлы права 600 и используя FastCGI.

Как можно получить доступ к управлению самим сервером?

Приведу один распространённый пример для Linux-систем. Аналогично, сначала необходим доступ на площадку одного сайта.
Есть несколько уязвимостей в ядре через нулевой указатель, которым подвержены десятки Linux-систем, например: Linux Kernel 'sock_sendpage()' NULL Pointer Dereference Vulnerability. Там же описаны и эксплоиты (осторожнее, это работает!).
Несмотря на то, что данная проблема известна давно, есть множество непропатченных серверов, в том числе и в России. Самый простой способ защиты описан, например, здесь.
Это не гарантирует 100% защиту, т.к. например при установке wine параметр mmap_min_addr может быть сброшен обратно в 0. Настоятельно рекомендуется использовать патчи, которые можно взять на странице, указанной выше, или в официальных источниках.
Обсуждение по этому вопросу велось и на хабре.
Ответственность за защиту от данных эксплоитов лежит на администраторе сервера.

Последовательность действий по устранению последствий

«Лечения» восстановлением из бекапа недостаточно, один раз взломав сайт, к Вам ещё вернутся. Что же делать владельцу сайта?

  • Постарайтесь сразу определить, какие именно файлы были заменены, это может быть как index.php, так и файлы шаблонов, изображений и т.п.;
  • Сделайте скриншоты последствий;
  • Обязательно оповестите хостинг-провайдера и согласуйте свои дальнейшие действия;
  • Сохраните в отдельный каталог файлы сайта, время модификации файлов в дальнейшем поможет Вам определить злоумышленика;
  • Восстановите из резервной копии сайт или обратитесь для этого к хостеру;
  • Скачайте логи ошибок и доступа к сайту или попросите хостера их предоставить, лучше скопировать их в отдельный каталог, чтобы не удалились при ротации логов;
  • Анализ времени изменения файлов и сопоставления с записями в логах позволяют определить характер используемой уязвимости и IP-адрес злоумышленника;
  • Обновите скрипты или (если это невозможно) откажитесь от использования уязвимых модулей;
  • Обязательно смените все пароли доступа.

Преступление и наказание

Наказать хакера, особенно если он действует под юрисдикцией другого государства и предпринимает все меры, чтобы его нельзя было отследить — сложно или практически невозможно. Но есть и успешные примеры.

Отделом К города N возбуждено уголовное дело по ст.272 УК РФ «Неправомерный доступ к охраняемой законом компьютерной информации. » в отношении гражданина РФ по заявлению юридического лица (владельца сайта). В феврале 2010-го года был выполнен взлом сайта производства одной из российских дизайн-студий («самописный» скрипт), через найденную злоумышленником уязвимость в коде сайта. Целью взлома являлось размещение рекламных баннеров. Злоумышленник принёс свои письменные извинения владельцу сайта с просьбой досудебного урегулирования — кроме уголовной статьи ему грозит и отчисление из ВУЗа. Так сказать — в интересах следствия подробности не разглашаются.

Читайте также:  Импорт из автокада в скетчап

Если ущерб значительный, а IP-адрес «местный» (даже динамический и принадлежит Интернет-провайдеру), а не «китайского прокси» — можно с заявлением и имеющимися материалами обратиться по месту жительства в правоохранительные органы, а конкретно в отдел К. Следователи сами запросят у хостинг-провайдера официальное письмо с журналами и пояснениями ситуации, у Интернет-провайдера — кому был выделен IP-адрес. Компании обязаны предоставить эти сведения по запросу правоохранительных органов.
Взломщику общение с правоохранительными органами доставит много неприятных часов, особенно если на компьютере остались следы противоправной деятельности, не говоря уже о возможном судебном преследовании.

Краткие выводы

Безопасность Вашего сайта — задача не только разработчика и хостера, который обязан обеспечить максимальную защищённость серверов, но и администратора сайта.
Тривиальные советы владельцу сайта:

  • нигде не хранить учётные данные доступа;
  • использовать длинные комплексные пароли и нестандартные логины, периодически выполнять их смену;
  • своевременно обновлять скрипты с выходом обновлений;
  • при выборе компонента проверять на наличие незакрытых уязвимостей;
  • следить за правами на файлы скриптов и особенно критические файлы конфигурации;
  • средствами веб-сервера (например, .htaccess и .ftpaccess) разрешить доступ только с Вашего IP;
  • да, сохранять копирайты авторов скриптов надо, но по ним, а так же фрагментам адресной строки модулей, злоумышленники и ищут уязвимые сайты — смените хотя бы стандартные адреса обращения к скриптам;
  • периодически, в том числе внешними сервисами, проверять доступность конкретных разделов сайта;
  • иметь локальные бекапы сайтов.

Оценив шансы по розыску злоумышленника — можно и нужно обратиться в правоохранительные органы.

PS: статья не претендует на абсолютную полноту изложения и ориентирована не на IT-гуру, разумеется, при целенаправленном взломе конкретного сервера или сайта могут применяться другие средства. Рад буду дополнить по комментариям хабрасообщества, в том числе и другими примерами.
И вкратце о действиях при взломе сайта.

+7 (495) 799−19−50

Как взламывают большинство сайтов. Примеры нецелевого взлома.

Мы неоднократно писали о том, что количество сайтов, подвергающихся обезличенным (нецелевым) атакам, в разы превышает количество жертв атак целевых. По нашей статистике, только каждый четвертый сайт злоумышленники взламывают целенаправленно, остальные сайты, поступающие к нам на лечение и защиту, — результат массового взлома и заражения.

Пострадать в результате нецелевой атаки довольно просто: для этого достаточно, не заметить или проигнорировать критическую уязвимость в CMS, шаблонах или плагинах своего сайта. Любая незакрытая брешь — отличный шанс очутиться среди себе подобных «товарищей по несчастью» и прочно закрепиться в хакерской выборке кандидатов для взлома. А в случае «успешной» атаки приготовьтесь к тому, что ваш сайт начнут активно использовать для спам-рассылки, заражения пользователей, хостинга фишинговых страниц, атак на другие сайты или заработка на рекламе.

Найти сайты (их тысячи) со схожими слабыми параметрами для хакера не составляет большого труда. Информацию об уязвимых сайтах всегда можно пробить по Google Hacking Database (GHD) — базе данных «дорков» — поисковых запросов на мета-языке Google, позволяющих найти сайты, уязвимые к тем или иным атакам по определенным сходными свойствами. Например, хакеры могут найти все проиндексированные в поисковой системе сайты с установленным уязвимым плагином или сайты, которые раскрывают содержимое каталогов, т.е. позволяют просматривать и загружать из них файлы (с паролями, настройками и т.п.)

Если на вашем сайте есть слабое звено и веб-проект уязвим к определенному виду атак, то рано или поздно вас взломают. Это нужно понимать каждому веб-мастеру и владельцу сайта.

Последние, обычно, не верят, что найти и взломать уязвимый сайт можно буквально за пару минут, не имея под рукой никаких специализированных хакерских инструментов. Поэтому в качестве иллюстрации мы приведем простой пример, как, используя возможности Google, злоумышленники находят и взламывают веб-проекты, владельцы которых своевременно не позаботились об их защите или допустили ошибки при настройке хостинга.

В качестве примера рассмотрим «дорк», который появился в базе Google Hacking Database от 1 сентября 2015 года. Он позволяет найти сайты с открытыми каталогами (в таких каталогах можно не только увидеть листинг служебных файлов, но и просмотреть их содержимое, например, найти пароли).

Отправляем этот запрос в поисковую систему Google и видим список сайтов с открытыми листингами каталогов — это потенциальные жертвы хакера. Выбираем среди найденных сайтов случайный, например, последний в списке.

Кликаем по ссылке — открывается список каталогов, по ним можно «погулять» как в проводнике, и в результате серфинга можно заметить файл serverconfig.xml, который в открытом доступе хранит логины и пароли от базы данных. Учитывая то, что иногда учетные записи совпадают с FTP или SSH, таким образом хакер может получить несанкционированный доступ не только к базе данных, но и всему серверу.

На весь вышеописанный процесс ушло порядка двух минут, у хакера же в «боевых условиях», использующего автоматизированные решения, это занимает еще меньше времени, а счет скомпрометированных ресурсов обычно идет на тысячи.

Обидно оказаться в числе тех, кто превратился в легкую добычу в руках хакера, хотя такой ситуации легко избежать. Думайте о защите своих веб-проектов заранее. Если ваш сайт будет чуть более защищен, чем среднестатистический (с CMS «из коробки» и настройками по-умолчанию), то проблема нецелевого взлома вас обойдет стороной.