Webseiten schützen vor Google Hacking

Geschätzte Lesezeit: 5 Minuten, 10 Sekunden

Der Worst Case für Webmaster ist eine gehackte Website. Über Google Hacking geht das leider kinderleicht, man sollte sich unbedingt davor schützen und keine Security Probleme heraufbeschwören.

Google Hacks

Was ist Google Hacking ?

Unter dem Begriff Google Hacking versteht man die Verwendung der Suchmaschine mit dem Ziel, sensible Informationen von Webpräsenzen zu erhalten, die wegen Security Löchern für Hacking-Angriffe anfällig sind. Dabei macht man sich die vielen unbekannten Steuercodes von Google zu Nutze, die es beispielsweise erlauben Seiten zu finden, die bestimmte Begriffe im Titel enthalten.

Es geht also nicht darum, Google selbst zu penetrieren, sondern mithilfe der Search Engine andere über Site Hacks zu schädigen. Manchmal wird diese Praktik auch nur eingesetzt, um Penetrationstests durchzuführen, um interne Sicherheitslücken selbst vor Angreifern zu finden. Bei dieser Art von Angriff ist übrigens egal, ob das Betriebssystem Windows ist oder Linux. Denn das eigentliche Ziel der Attacke ist die Software hinter der Webseite.

Da Schwachstellen eines Systems oft auf dem Web Server liegen, kann man es beispielsweise ausnutzen, dass nur wenige Anbieter von Server-Software fast den ganzen Markt abdecken. Daraus resultiert für Hacker die Chance, nach eben dieser Software gezielt zu suchen. Weiter unten folgen dazu einige Beispiele.

Weil das Google Hacking so einfach ist, werden die zugrunde liegenden Suchworte auch als Google Dorks bezeichnet. Das sind Exploits, die eine Site angreifbar machen, die nach bösartiger Ansicht von Trotteln administriert werden. Daher auch der Begriff Dork, denn er bezeichnet einen Trottel… Ein solcher ist überspitzt gesagt jemand, der seine Webseite nicht im Griff hat und sich nicht genügend Gedanken über die Security Maßnahmen gemacht hat.

Beim Google Hacking muss man zwei Arten differenzieren:

  1. Rundumschlag, um potentiell unsichere Seiten zu finden, ohne vorab eine bestimmte Domäne im Fokus zu haben
  2. Gezielte Attacke auf eine bestimmte Domäne, um sogenannte Vulnerabilities auszubeuten, also Sicherheitslücken oder auch nur eine Schwachstelle, die Angriffsfläche bietet

Mit etwas Glück entgeht man aufgrund der Vielzahl an unsicheren Anzahl an Websites beim ersten Angriffsweg einem Desaster. Wenn man im Fokus von Hackern ist, also Angriffspunkt zwei, dann viel Glück! Es gibt übrigens eine Google Hacking Database (GHDB) im Netz, die die oben erwähnten Exploits auflistet. Darunter gibt es leider oft auch viele sogenannte Zero Day Exploits, also sehr junge Angriffsmöglichkeiten. Für diese sind typischerweise noch keine Abwehrmaßnahmen bekannt.

Schutz vor Google Hacking

Der einfachste Weg um herauszufinden, ob die eigene Webseite potentiell angreifbar durch Google Hacking ist, ist selbst zu versuchen, seine Website derart zu hacken.
Das beginnt damit herauszufinden, ob Passwortdateien öffentlich einsehbar sind, weil sie im Suchindex gelandet sind.

Passwortdatei im Index suchen

Vorab: Eine Passwortdatei ist generell eine sehr schlechte Idee, sie sollte in keinem Fall existieren und stellt nicht eine Schwachstelle sondern eine ernsthafte Security Panne dar. Aber auch reine Benutzerlisten, Email-Verteiler, Kundenadressen und andere auch nur halbwegs sensible Daten sollten die in einer Textdatei auf dem Webspace abgelegt werden (dafür gibt es Datenbanken).

Suche nach Passwortdateien im CSV-Format:

ext:csv intext:"password"

Oder auch die gleiche Suche, aber nach Textdateien:

ext:txt intext:"password"

Ebenfalls interessant ist die Suche nach Dateien mit SQL-Befehlen, die Passwörter für Benutzer enthalten:

ext:sql intext:"alter user" intext:"identified by"

Benutzerlisten ausspähen

Solche Listen werden oft unter dem Begriff Accounts zusammengefasst, Standardsoftware erzeugt sogar oft entsprechend gleich benannte Verzeichnisse. Man kann diese leicht über folgenden intitle Befehl finden:

intitle:index.of.accounts

Sensible Mediendateien

Fotos und Videos sind meist nicht per se gefährlich, aber kompromittierendes Material möchte niemand in den falschen Händen wissen, etwa Schnappschüsse von der letzten Junggesellenfeier oder dem feucht-fröhlichen Firmenjubiläum. Daher sicherstellen, dass solche Dateien nicht über den intitle Befehl im Zugriff durch Google Hacker sind:

intitle:index.of +"Indexed by Apache::Gallery"

Oft bringt auch die Suche nach Dropbox-Ordnern eine ganz schöne Anzahl an Mediendateien ans Licht der Öffentlichkeit:

intitle:index.of.dropbox

Achtung: Auf Dropbox werden gerne auch Word-Dokumente, Excel-Liste, Powerpoint-Präsentation und andere Office-Dokumente abgelegt, die entweder sensible oder nicht für die Augen der Konkurrenz bestimmte Informationen enthalten. Wenn sie jemand über Search Engines finden und aufrufen kann, ist das ein Desaster.

Eine URL, deren Titel alle Suchbegriffe einer Query enthält, kann man mit der allintitle Directive finden, beispielsweise so:

allintitle:important files

Wenn man die Suchbegriffe zusätzlich in Anführungszeichen setzt, dann findet die Suchmaschine nur Treffer, die genau diese Phrase enthalten und nicht auch etwas wie Important Directories and Files.

Insider Google Hacking

Die Suche nach Statistiken für unterbrechungsfreie Stromversorgungen hält u.U. lohnenswerte Angaben für den Hacker bereit, vor allem, wenn dort IP-Adressen, Servernamen oder Softwarekonfigurationen genannt sind. Oder noch schlimmer, wenn die Statistik Action-Buttons enthält, mit denen man möglicherweise die USV steuern kann.

inurl:upsstats.cgi?host

Eine nähere Beschreibung für den inURL Operator gibt es in der Search Engine Referenz für Operatoren. Übrigens kann man die Steueranweisung inURL nicht nur in der klassischen Websuche verwenden, sondern auch in der Bildersuche sowie in Google Directory und Google News.

Local File Inclusion

Auf bei Webmastern beliebte Betriebssystemen wie Linux und Derivaten gibt es eine kleine Anzahl an immer gleiche lautenden Dateien. An den Inhalt dieser Files zu gelangen, bietet Kriminellen einen guten Ansatzpunkt. Daher sicherstellen, dass Anfragen wie die folgenden keine kritischen Dateiinhalte ausgeben:

-inurl:”include.php?file=”

SQL Injection

Viele Webseiten verwenden Scripte, wie PHP, die das Übergeben von Parameterwerten zulassen. Anstatt eines Vornamens kann ein Angreifer versuchen, einen SQL-Befehl zu injizieren. Um solche Skripte zu finden, kann man beispielsweise folgendermaßen suchen:

-inurl:”product.php?id=”

Auf jeden Fall sicherstellen, dass SQL-Befehle in den Skripten ausgefiltert werden. Für PHP kann man dies beispielsweise gut mit Prepared Statements bewirken.

Das Online Test Tool

Das kostenlose PenTest-Tool prüft eine Domäne auf verschiedene Schwachstellen, indem es dafür Suchanfragen stellt, um an sensible Dateien zu kommen. Das Tool prüft auf verschiedene Verwundbarkeiten:

  • Directory Listing Vulnerabilities
  • Konfigurationsdateien
  • Datenbank Files
  • Log Files
  • Backup Dateien
  • Loginseiten
  • SQL Fehler
  • Öffentlich zugängliche Dokumente (PDF, Word und andere)
  • Vorhandensein von PHPInfo Angaben

Die Arbeitsweise des Werkzeugs ist simpel: Es werden einfach die Google Anfragen ausgeführt, die ein Hacker auch starten würde. Dann wird das Suchergebnis angezeigt. Ist es leer, dann hat man wohl kein Problem. Wurde hingegen etwas gefunden, dann sollte man sich die Ergebnisse genauer betrachten. Bei öffentlich zugänglichen Dokumenten wird sicher oft etwas gefunden, ohne dass es ein Problem ist (PDFs etwa werden gerne öffentlich bereitgestellt). Konfigurationsdateien aber sollte man besser nicht publik machen.

Weiterführende Ressourcen

Das deutsche Buch Network Hacking ist aktuell und gibt zahlreiche Tipps und Hintergründe zum Schutz des eigenen Netzwerks.

Für Kindle-User ist das Amazon e-Book Hacking Essentials für wenig Geld das richtige, um sich tiefer gehend zu informieren und gegen Hacker zu schützen. Ebenfalls auf Amazon gibt es von Johnny Long das Buch mit dem passenden Titel Google Hacking. Es hilft Systemverantwortlichen und Webmastern, ihre Sites abzusichern und Schwachstellen frühzeitig zu erkennen. Und zwar nicht nur für Windows, sondern OS-übergreifend.

WordPress Webmaster sollten ihre Installation geeignet gegen Hacking Google absichern, dazu unseren Artikel WordPress absichern online lesen.

Eine erste einfache Maßnahme, um Dateizugriffe von außen zu unterbinden, ist die entsprechende Gestaltung der robots.txt Datei, mit der auch die Crawler von Search Engines sinnvoll gesteuert werden können.

Zum Schluss noch eine Buchempfehlung zur Arbeitsweise von Google:

Wie Google tickt

€ 27,00
Wie Google tickt
9.2

Praxiswert

9.0/10

Verständlichkeit

9.4/10

Umfang

9.1/10

Preis

9.1/10

Vorteile

  • Insiderwissen aus 1. Hand
  • Amüsant geschrieben
  • Für Optimierer
  • Mit SEO-Infos

Google Hacking hat übrigens nichts mit Growth Hacking zu tun, wie unser Beitrag zu dem Thema verrät. Letzteres ist eine Online Marketing Technik, die auf virale Verbreitung von Content abzielt!


Wie hat Dir der Artikel gefallen?

Webseiten schützen vor Google Hacking: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 4,93 von 5 Punkten, basieren auf 15 abgegebenen Stimmen.

Webhosting inkl. Homepagebaukasten!
Dr. Klaus Meffert
Folge mir

Dr. Klaus Meffert

Der Autor ist Diplom-Informatiker und hat neben seinem Beruf als Organisationsberater zum Doktoringenieur promoviert. Er besitzt 30 Jahre Erfahrung im IT-Bereich (Software-Lösungen, Apps, Web, Online-Marketing, IT-Beratung) ist mehrfacher Buchautor und Autor zahlreicher Fachartikel. Er hilft Unternehmen mit maßgeschneiderten Software-Lösungen und mit besseren Google-Rankings zu mehr Erfolg.
Dr. Klaus Meffert
Folge mir

Weitere Beiträge

3 Gedanken zu „Webseiten schützen vor Google Hacking

  1. Hab’s mal ausprobiert und tausende von Seiten angezeigt bekommen. Ich wette, da ist eine dabei die verwundbar ist. Man, dass die Webmaster das nicht in den Griff bekommen, die Maßnahmen sind doch so einfach.

  2. Meine Site wurde kürzlich gehackt, dafür hat der Hacker seine Inhalte platziert. Wenigstens hab ich es so gemerkt und konnte alles neu installieren. Viel schlimmer sind die Angriffe, wo Dateien modifiziert werden, um Daten und Passwörter auszuspähen!

Schreibe einen Kommentar

Als Name kann auch ein Pseudonym angegeben werden. Deine Email-Adresse wird nicht veröffentlicht. Siehe unsere Datenschutzbestimmungen