Schlagwort-Archiv: Security

Webseiten schützen vor Google Hacking

Geschätzte Lesezeit: 5 Minuten, 10 Sekunden

Der Worst Case für Webmaster ist eine gehackte Website. Über Google Hacking geht das leider kinderleicht, man sollte sich unbedingt davor schützen und keine Security Probleme heraufbeschwören.

Google Hacks

Was ist Google Hacking ?

Unter dem Begriff Google Hacking versteht man die Verwendung der Suchmaschine mit dem Ziel, sensible Informationen von Webpräsenzen zu erhalten, die wegen Security Löchern für Hacking-Angriffe anfällig sind. Dabei macht man sich die vielen unbekannten Steuercodes von Google zu Nutze, die es beispielsweise erlauben Seiten zu finden, die bestimmte Begriffe im Titel enthalten.

Es geht also nicht darum, Google selbst zu penetrieren, sondern mithilfe der Search Engine andere über Site Hacks zu schädigen. Manchmal wird diese Praktik auch nur eingesetzt, um Penetrationstests durchzuführen, um interne Sicherheitslücken selbst vor Angreifern zu finden. Bei dieser Art von Angriff ist übrigens egal, ob das Betriebssystem Windows ist oder Linux. Denn das eigentliche Ziel der Attacke ist die Software hinter der Webseite.

Da Schwachstellen eines Systems oft auf dem Web Server liegen, kann man es beispielsweise ausnutzen, dass nur wenige Anbieter von Server-Software fast den ganzen Markt abdecken. Daraus resultiert für Hacker die Chance, nach eben dieser Software gezielt zu suchen. Weiter unten folgen dazu einige Beispiele.

Weil das Google Hacking so einfach ist, werden die zugrunde liegenden Suchworte auch als Google Dorks bezeichnet. Das sind Exploits, die eine Site angreifbar machen, die nach bösartiger Ansicht von Trotteln administriert werden. Daher auch der Begriff Dork, denn er bezeichnet einen Trottel… Ein solcher ist überspitzt gesagt jemand, der seine Webseite nicht im Griff hat und sich nicht genügend Gedanken über die Security Maßnahmen gemacht hat.

Beim Google Hacking muss man zwei Arten differenzieren:

  1. Rundumschlag, um potentiell unsichere Seiten zu finden, ohne vorab eine bestimmte Domäne im Fokus zu haben
  2. Gezielte Attacke auf eine bestimmte Domäne, um sogenannte Vulnerabilities auszubeuten, also Sicherheitslücken oder auch nur eine Schwachstelle, die Angriffsfläche bietet

Mit etwas Glück entgeht man aufgrund der Vielzahl an unsicheren Anzahl an Websites beim ersten Angriffsweg einem Desaster. Wenn man im Fokus von Hackern ist, also Angriffspunkt zwei, dann viel Glück! Es gibt übrigens eine Google Hacking Database (GHDB) im Netz, die die oben erwähnten Exploits auflistet. Darunter gibt es leider oft auch viele sogenannte Zero Day Exploits, also sehr junge Angriffsmöglichkeiten. Für diese sind typischerweise noch keine Abwehrmaßnahmen bekannt.

Schutz vor Google Hacking

Der einfachste Weg um herauszufinden, ob die eigene Webseite potentiell angreifbar durch Google Hacking ist, ist selbst zu versuchen, seine Website derart zu hacken.
Das beginnt damit herauszufinden, ob Passwortdateien öffentlich einsehbar sind, weil sie im Suchindex gelandet sind.

Passwortdatei im Index suchen

Vorab: Eine Passwortdatei ist generell eine sehr schlechte Idee, sie sollte in keinem Fall existieren und stellt nicht eine Schwachstelle sondern eine ernsthafte Security Panne dar. Aber auch reine Benutzerlisten, Email-Verteiler, Kundenadressen und andere auch nur halbwegs sensible Daten sollten die in einer Textdatei auf dem Webspace abgelegt werden (dafür gibt es Datenbanken).

Suche nach Passwortdateien im CSV-Format:

ext:csv intext:"password"

Oder auch die gleiche Suche, aber nach Textdateien:

ext:txt intext:"password"

Ebenfalls interessant ist die Suche nach Dateien mit SQL-Befehlen, die Passwörter für Benutzer enthalten:

ext:sql intext:"alter user" intext:"identified by"

Benutzerlisten ausspähen

Solche Listen werden oft unter dem Begriff Accounts zusammengefasst, Standardsoftware erzeugt sogar oft entsprechend gleich benannte Verzeichnisse. Man kann diese leicht über folgenden intitle Befehl finden:

intitle:index.of.accounts

Sensible Mediendateien

Fotos und Videos sind meist nicht per se gefährlich, aber kompromittierendes Material möchte niemand in den falschen Händen wissen, etwa Schnappschüsse von der letzten Junggesellenfeier oder dem feucht-fröhlichen Firmenjubiläum. Daher sicherstellen, dass solche Dateien nicht über den intitle Befehl im Zugriff durch Google Hacker sind:

intitle:index.of +"Indexed by Apache::Gallery"

Oft bringt auch die Suche nach Dropbox-Ordnern eine ganz schöne Anzahl an Mediendateien ans Licht der Öffentlichkeit:

intitle:index.of.dropbox

Achtung: Auf Dropbox werden gerne auch Word-Dokumente, Excel-Liste, Powerpoint-Präsentation und andere Office-Dokumente abgelegt, die entweder sensible oder nicht für die Augen der Konkurrenz bestimmte Informationen enthalten. Wenn sie jemand über Search Engines finden und aufrufen kann, ist das ein Desaster.

Eine URL, deren Titel alle Suchbegriffe einer Query enthält, kann man mit der allintitle Directive finden, beispielsweise so:

allintitle:important files

Wenn man die Suchbegriffe zusätzlich in Anführungszeichen setzt, dann findet die Suchmaschine nur Treffer, die genau diese Phrase enthalten und nicht auch etwas wie Important Directories and Files.

Insider Google Hacking

Die Suche nach Statistiken für unterbrechungsfreie Stromversorgungen hält u.U. lohnenswerte Angaben für den Hacker bereit, vor allem, wenn dort IP-Adressen, Servernamen oder Softwarekonfigurationen genannt sind. Oder noch schlimmer, wenn die Statistik Action-Buttons enthält, mit denen man möglicherweise die USV steuern kann.

inurl:upsstats.cgi?host

Eine nähere Beschreibung für den inURL Operator gibt es in der Search Engine Referenz für Operatoren. Übrigens kann man die Steueranweisung inURL nicht nur in der klassischen Websuche verwenden, sondern auch in der Bildersuche sowie in Google Directory und Google News.

Local File Inclusion

Auf bei Webmastern beliebte Betriebssystemen wie Linux und Derivaten gibt es eine kleine Anzahl an immer gleiche lautenden Dateien. An den Inhalt dieser Files zu gelangen, bietet Kriminellen einen guten Ansatzpunkt. Daher sicherstellen, dass Anfragen wie die folgenden keine kritischen Dateiinhalte ausgeben:

-inurl:”include.php?file=”

SQL Injection

Viele Webseiten verwenden Scripte, wie PHP, die das Übergeben von Parameterwerten zulassen. Anstatt eines Vornamens kann ein Angreifer versuchen, einen SQL-Befehl zu injizieren. Um solche Skripte zu finden, kann man beispielsweise folgendermaßen suchen:

-inurl:”product.php?id=”

Auf jeden Fall sicherstellen, dass SQL-Befehle in den Skripten ausgefiltert werden. Für PHP kann man dies beispielsweise gut mit Prepared Statements bewirken.

Das Online Test Tool

Das kostenlose PenTest-Tool prüft eine Domäne auf verschiedene Schwachstellen, indem es dafür Suchanfragen stellt, um an sensible Dateien zu kommen. Das Tool prüft auf verschiedene Verwundbarkeiten:

  • Directory Listing Vulnerabilities
  • Konfigurationsdateien
  • Datenbank Files
  • Log Files
  • Backup Dateien
  • Loginseiten
  • SQL Fehler
  • Öffentlich zugängliche Dokumente (PDF, Word und andere)
  • Vorhandensein von PHPInfo Angaben

Die Arbeitsweise des Werkzeugs ist simpel: Es werden einfach die Google Anfragen ausgeführt, die ein Hacker auch starten würde. Dann wird das Suchergebnis angezeigt. Ist es leer, dann hat man wohl kein Problem. Wurde hingegen etwas gefunden, dann sollte man sich die Ergebnisse genauer betrachten. Bei öffentlich zugänglichen Dokumenten wird sicher oft etwas gefunden, ohne dass es ein Problem ist (PDFs etwa werden gerne öffentlich bereitgestellt). Konfigurationsdateien aber sollte man besser nicht publik machen.

Weiterführende Ressourcen

Das deutsche Buch Network Hacking ist aktuell und gibt zahlreiche Tipps und Hintergründe zum Schutz des eigenen Netzwerks.

Für Kindle-User ist das Amazon e-Book Hacking Essentials für wenig Geld das richtige, um sich tiefer gehend zu informieren und gegen Hacker zu schützen. Ebenfalls auf Amazon gibt es von Johnny Long das Buch mit dem passenden Titel Google Hacking. Es hilft Systemverantwortlichen und Webmastern, ihre Sites abzusichern und Schwachstellen frühzeitig zu erkennen. Und zwar nicht nur für Windows, sondern OS-übergreifend.

WordPress Webmaster sollten ihre Installation geeignet gegen Hacking Google absichern, dazu unseren Artikel WordPress absichern online lesen.

Eine erste einfache Maßnahme, um Dateizugriffe von außen zu unterbinden, ist die entsprechende Gestaltung der robots.txt Datei, mit der auch die Crawler von Search Engines sinnvoll gesteuert werden können.

Zum Schluss noch eine Buchempfehlung zur Arbeitsweise von Google:

Wie Google tickt

€ 27,00
Wie Google tickt
91.5

Praxiswert

9/10

    Verständlichkeit

    9/10

      Umfang

      9/10

        Preis

        9/10

          Vorteile

          • Insiderwissen aus 1. Hand
          • Amüsant geschrieben
          • Für Optimierer
          • Mit SEO-Infos

          Google Hacking hat übrigens nichts mit Growth Hacking zu tun, wie unser Beitrag zu dem Thema verrät. Letzteres ist eine Online Marketing Technik, die auf virale Verbreitung von Content abzielt!


          Wie hat Dir der Artikel gefallen?

          Webseiten schützen vor Google Hacking: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 4,93 von 5 Punkten, basieren auf 15 abgegebenen Stimmen.
          Webhosting inkl. Homepagebaukasten!

          Weitere Beiträge

          WordPress absichern

          Geschätzte Lesezeit: 6 Minuten, 15 Sekunden

          WordPress Security
          WordPress ist die beliebteste Blog-Software und das populärste Content Management System. Kein Wunder, dass deshalb so viele Angreifer versuchen, wahllos WordPress Installationen und Server anzugreifen und zu hacken. Dagegen kann und muss man sich wehren, alleine schon, weil auf Google diverse Anleitungen existieren, wie Sicherheitslücken ausgebeutet werden können.

          Der WordPress Security Scan

          Bist Du unsicher, ob Deine WordPress Webseite oder Dein Blog verwundbar gegen Hackerangriffe ist und ob Du sie besonders schützen musst? Dann mache den Security Scan (externe Seite, kostenlos). Der Scan prüft u.a. die Version von WordPress, sie sollte auf dem neuesten Stand sein. Weiterhin werden alle erkannten Plugins überprüft und mit einer Datenbank von gefährlichen Plugins abgeglichen. Wenn alles gut läuft, sieht das Testergebnis so aus:

          WordPress Security Scan
          WordPress absichern: Security Scan

          Außerdem prüft der Scan die verwendeten Namen der Adminbenutzer, nach Möglichkeit sollte dieser weder admin heißen noch so, wie die Webseite selbst.

          Ein weiterer Scanner namens Nikto checkt Deinen Webseite und Deinen Server generell auf Sicherheitslücken (man muss sich dafür allerdings registrieren oder die Offline-Version herunterladen).

          Allgemeine Maßnahmen

          Auf jeden Fall ist es notwendig und absolut essentiell, ein starkes Passwort für Deinen WordPress Admin-User zu verwenden, so kannst Du mit wenig Aufwand WordPress absichern und vorn Angriffen schützen. Weiterhin keinesfalls dasselbe Passwort mehrfach nutzen, weder innerhalb einer WordPress Installation für mehrere User noch gleichlautende Passworte für verschiedene Dienste und Anwendungen verwenden!

          Zu den einfachsten Sicherheits-Maßnahmen gehört das Löschen des Standard-Users mit der Identitätsnummer 1 und dem User-Namen »admin«. Denn der Name des Autors mit dem Index 1 kann sehr leicht über den Aufruf der URL

          www.deinblog.de/?author=1

          ermittelt werden!

          Der Admin-Bereich auf Deinem Server sollte zudem mit einem Verzeichnisschutz versehen werden. Man kann ansonsten einfach den Login-Screen wie folgt aufrufen:

          www.deinblog.de/wp-admin

          So erstellt man einen Verzeichnisschutz für den Admin-Bereich:

          Eine Passwort-Datei außerhalb des zu schützenden Verzeichnisses und außerhalb des Hauptverzeichnisses ablegen, die mit .htpasswd benannt ist und folgenden Aufbau hat:

          username:passworthash

          Für username wählst Du einen beliebigen Usernamen, der am besten nicht mit Deinem WordPress-Usernamen übereinstimmt. passworthash ist der Hashwert des Passworts, mit dem Du den Verzeichnisschutz authentifizieren willst. Am einfachsten kannst Du den Inhalt dieser Datei mit einem htpasswd-Generator erzeugen. Achte auf sichere Passwörter, das sollte sich eigentlich von selbst verstehen!

          Danach eine Datei namens .htaccess im Verzeichnis wp-admin Deiner WordPress Installation anlegen, die folgenden Inhalt hat:

          AuthType Basic
          AuthName "Passwortgeschuetzter Bereich"
          AuthUserFile /pfad/zur/Datei/.htpasswd
          AuthGroupFile /dev/null
          require valid-user
          

          Nun auch noch den Zugriff von außen auf die Datei wp-config.php im Pfad von WordPress verbieten, denn in dieser Datei stehen alle wichtigen Zugriffsinfos wie der Datenbankuser und das zugehörige Passwort drin. Im selben Verzeichnis bzw. Ordner wie wp-config.php befindet sich eine htaccess-Datei. In diesem File ergänzt Du ganz am Ende folgende Zeilen:

          # Zugriff auf wp-config.php von außen verbieten
          <files wp-config.php>
          Order deny,allow
          deny from all
          </files>

          Diese Maßnahmen sollten spürbar mehr Sicherheit bringen, damit kannst Du schon recht effektiv WordPress gegen Hacker absichern!

          Plugins und WordPress selbst regelmäßig updaten

          Das Dashboard meldet, wenn ein Update zur Verfügung steht. Oft enthalten Updates Sicherheitsmaßnahmen oder Code, um Sicherheitslücken zu schließen. Wem das manuelle Aktualisieren zu lästig ist, der kann in der wp-config.php Datei folgende Zeile hinzufügen, um das automatische Update zu aktivieren:

          // Enable all automatic updates
          define( 'WP_AUTO_UPDATE_CORE', true );

          Noch mehr Security-Tipps

          Damit Angreifer oder Hacker nicht direkt die WordPress-Version auslesen können, am besten noch automatisiert, füge folgende Zeile Code in der Datei functions.php ganz am Ende ein:

          remove_action('wp_head','wp_generator');

          Die Datei kannst Du bearbeiten über das Admin-Panel, Design -> Editor.

          Möchtest Du noch weitergehend WordPress absichern, dann füge folgende Zeile am Ende der Datei wp-config.php ein:

          define('DISALLOW_FILE_EDIT', true);

          Das verhindert das Editieren von PHP- und CSS Files über den WP-Editor im Admin-Panel durch Hacker. Allerdings sollten Änderungen an diesen Dateien nur verboten werden, wenn Du nicht selbst über den Editor im Panel öfters Dateien ändern willst (aus Komfortgründen). Allerdings kannst Du all diese Dateien auch direkt auf dem Webserver ändern, etwa per FTP oder Shell.

          Wenn Deine WordPress-Seite kein HTTPS bzw. SSL unterstützt, dann solltest Du keinesfalls per WLAN von öffentlichen Orten aus als Admin auf Deine Installation zugreifen, denn dann kann es passieren, dass Angreifer Dein Passwort im Klartext mitlesen! Und diesen Pfad willst Du sicher nicht beschreiten! Unter Umständen müssen auch rechtliche Konsequenten in Kauf genommen werden, wenn Du über Funknetze Sicherheitstore offenbarst. SSL kann allerdings nur mit einem meist kostenpflichtigen Zertifikat benutzt werden, so dass eher Firmen hierzu die Möglichkeit haben.

          Anzahl der Login-Versuche begrenzen

          Unglaublich, aber wahr: Per Default kann jeder beliebig viele Login-Versuche in Deinen Admin-Bereich unternehmen! Im Zeichen der WordPress Security solltest Du ein Plugin wie Login Lockdown installieren, um ein Limit einzubauen. Nach Installation findest Du unter Einstellungen -> Login Lockdown die Optionen des Plugins. Dort kann man insbesondere einstellen, wie oft jemand hintereinander versuchen darf, sich anzumelden, also wie viele Fehlversuche er hat. Nachdem diese Versuche erreicht sind, ist eine Anmeldung für 5 Minuten von derselben IP Adresse nicht mehr möglich. Diese Zeit kannst Du ebenfalls konfigurieren. Nun müssen Bösewichten sich mehr anstrengen, wenn sie sich einhacken wollen!

          Sehr nützlich ist auch die Einstellung Mask Login Errors. Man sollte sie auf Yes stellen. Dann nämlich bekommt der Angreifer keine Info, warum seine Anmeldung fehlschlug. Ansonsten wird nämlich gemeldet, ob der Username bekannt, aber das Passwort falsch war oder ob schon der Username falsch war. Weitere Infos dazu gibt es im WordPress Praxishandbuch von Gino Cremer.

          Table Prefix ändern

          Normalerweise beginnt jede Tabelle mit dem Präfix wp_. Das macht es bei erfolgreichen SQL Injection Versuchen einfach, Tabelleninhalte aus der Datenbank auszulesen oder zu manipulieren. Vor der Installation kann man durch Editieren der wp-config.php Datei jenes Präfix ändern. Wurde die Installation schon vorgenommen, dann hilft das Plugin Change DB Prefix.

          Wir haben selbst vor kurzem einen Spam Kommentar erhalten, der einen plumpen SQL Injection Versuch enthielt und den Pfad der Hacker erkennen lässt:

          WordPress Hacking
          SQL Injection via Kommentar

          Das war wohl ein russischer Mitbürger, der allerdings weder englisch noch SQL richtig schreiben kann. Denn das SQL Statement enthält Syntaxfehler und führt zu keiner Aktion auf der Datenbank. Dümmer geht es kaum, aber kaum auszudenken, wenn dieser Angriff erfolgreich gewesen wäre!

          Readme und License Dateien schützen oder löschen

          Die Dateien readme.html und license.txt liegen im Hauptverzeichnis der Installation und enthalten Informationen über die WordPress Version. Sie bieten für Angreifer einen guten Ausgangspunkt, um das Angriffsziel auszuwerten. Entweder diese beiden Dateien löschen, denn sie werden für den Betrieb nicht benötigt. Oder die htaccess Datei, die im Root Verzeichnis liegt, um folgende Zeilen erweitern:

          # Protect readme.html File
          <Files readme.html>
          order allow,deny
          deny from all
          </Files>


          # Protect license.txt file
          <Files license.txt>
          order allow,deny
          deny from all
          </Files>

          Security Plugins verwenden

          Mit einem Plugin wie Bullet Proof Security, das weit verbreitet ist und sich großer Beliebtheit bei Admins in zahlreichen Installationen erfreut, bekommt man eine kostenfreie und umfassende Lösung zum Schließen potentieller Sicherheitslücken und Einfalltore.

          Das Plugin wehrt diverse Angriffe ab, es schützt beispielsweise die htaccess Datei, baut eine Firewall um die gesamte Installation auf, limitiert die maximale Anzahl erlaubter Login Versuche, prüft Passwörter und bietet eine wirksame Absicherung für die Datenbank.

          Dieses Security Plugin ist sehr einfach zu bedienen und mit wenigen Klicks installiert und konfiguriert, auf jeden Fall ausprobieren!

          Weitere Hinweise

          Selbstverständlich solltest Du regelmäßig ein Backup Deiner WordPress Installationen vornehmen, dazu reicht es, das Installationsverzeichnis auf ein lokales Laufwerk zu kopieren. Auf keinen Fall das Backup auf demselben Server ablegen, wo Du WordPress installiert hast oder per FTP uploaden! Das zuvor genannte Plugin erstellt übrigens ein Backup Deiner Datenbank! Einmalige Maßnahme wie das Anpassen von htaccess zur Absicherung von Installationen und andere oben beschriebene Security Einstellungen schützen jedenfalls ganz gut davor, gehackt zu werden.  Ganz wichtig sind die Updates, die für Plugins und Themes angeboten werden. Auf jeden Fall das Change Log dazu lesen und wenn Sicherheitslücken geschlossen wurden, unbedingt installieren.

          Erstellst Du selbst Themes oder ändert vorhandene Templates ab, dann achte beim Webdesign darauf, dass Du keine Sicherheitslücken öffnest. Informiere Dich am besten, bevor Du externe Javascript Bibliotheken verwendest, ob diese als sicher gelten.

          WordPress selbst führt übrigens ein Archiv mit Sicherheits-relevanten Meldungen.

          Einen kompetenten Überblick in WordPress Sicherheitsthemen bietet das Buch WordPress absichern: Ein Leitfaden für mehr Sicherheit in WordPress von Stefan Birkmeier. Es ist für unter 10 Euro zu haben, die Kindle Version kostet sogar unter 5 Euro.
          Möchtest Du Deine WordPress-Kenntnisse auffrischen, dann ist unser Testbericht der besten WordPress-Bücher lesenwert.

          Auch sollte man durch entsprechende Absicherung sicherstellen, kein Opfer des sogenannten Google Hacking zu werden, um nicht als Donk (Trottel) zu gelten…

          WordPress absichern: Mehr Sicherheit in WordPress

          € 8,90
          WordPress absichern: Mehr Sicherheit in WordPress
          90.75

          Praxiswert

          9/10

            Verständlichkeit

            10/10

              Umfang

              8/10

                Preis

                9/10

                  Vorteile

                  • Für alle WordPress-Eigner
                  • Praktische Leitfäden
                  • Erfolg garantiert
                  • Enthält auch Profitipps
                  • Sehr günstig

                  Wie hat Dir der Artikel gefallen?

                  WordPress absichern: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 4,95 von 5 Punkten, basieren auf 40 abgegebenen Stimmen.

                  Weitere Beiträge