Довольно часто хакеры используют поисковые системы, в частности Google, для поиска «дыр», через которые можно получить доступ к сайту или серверу. Для этого применяются специально сформированные поисковые запросы, которые на сленге называются «гуглохаки». А так же различные программы-сканеры. В этой статье мы расскажем как можно отследить такие разведки перед взломом с помощью технологии Google Hack Honeypot. Если кратко, то технология Honeypot – это «система-приманка», невидимая для пользователей, но индексируемая поисковыми системами и сканерами среда, которая эмитирует уязвимое вэб-приложение. И при заходах, не важно, поискового бота, или сканера, будет вестись в лог-файл с информацию о хосте, включая IP адреса, информация о переходе и пользовательском агенте. А кроме обычных текстовых логов, можно ещё использовать MySQL или XMLRPC.
Как говорилось выше, в данном случаи мы воспользуемся «Google Hack Honeypot», который создан специально для отслеживание использования «гуглохаков». Примером «гуглохака» может послужить запрос для поиска паролей от ftp-доступа к сайту: Index.of ws_ftp.ini
Итак: - идём на сайт и скачиваем приманку. - скачанный архив разархивируем. Файлы config.php и файл для ведения логов загружаем в папку, недоступную для просмотра, в смысле не в корневом каталоге htdocs. А остальные файлы загружаем в любое место в htdocs. Файл readme.txt внимательно читаем, выполняем рекомендации по установке и удаляем. - в config.php пропишите путь к файлу логов (например /Apache/ghhlog.csv и не /Apache/htdocs/ghhlog.csv) и их тип. - отключаем RegisterGlobals в php.ini (если требуется). - в index.php приманки прописываем путь к config.php и адрес страницы, от куда идёт ссылка на ханипот. - для того, чтобы наша приманка стала работать, нужно сделать, чтобы её начали видеть и индексировать поисковые системы. Для этого нужно на станице сделать скрытую ссылку в виде , где «точка» должна быть одного цвета с фоном. Или можно сделать так, img src=http://вашдомен.com/honeypot.php width=0 height=0
Всё. Ждём когда поисковики проиндексируют приманку и она начнутся писать логи.
Источник: http://domaintimes.net/как-отловить-сканирование-директори/#more-1954 |