Protección contra Hacking con Google - index-of.co.uk/index-of.co.uk/Various/ProteccioncontraHackingconGoogle.pdfCONFERENCIAS FIST -3- NeuroCrypt, S.L. Anatomía de un ataque Recopilación

Protección contra Hacking con Google

Pedro Pablo Pérez García

Gonzalo Álvarez Marañón

FIST Conference Abril/Madrid 2005

CONFERENCIAS FIST NeuroCrypt, S.L.-2-

INDICE

o Introducción

o Recopilación de información

o Protección de la información

o Conclusiones


Anatomía de un ataque

Recopilación de Información

Localizar el Objetivo

Acceso Remoto

Acceso Local

ADMIN

Borrado de Huellas / Pistas

Mantenimiento de Acceso

“Escalada de privilegios”


2.- Recopilación

o Recopilación en remoto

Pasivo– Tradicional

– Buscador

Activo

o Recopilación in situ


2.- Recopilación

o www.iana.org : Asigna Direccioneso www.ripe.net : Direcciones IP ( Europa )o www.arin.net : Direcciones IP ( America / Africa )o www.apnic.net : Direcciones IP ( Asia / Pacifico )

o www.allwhois.com : Todos los dominioso www.nic.es : Dominios .es

o www.sec.gov : Información Empresarial ( EDGAR )o www.axesor.es : Información Empresarial ( BORME )o www.nomefio.com : Información Empresarial ( BORME )

o www.paginasamarillas.es : Números de Telefono ( España )o www.globalyp.com : Números de Telefono ( Mundial )o www.infobel.com : Números de Telefono ( Inversa )


2.- Recopilación


2.- Recopilación


2.- Recopilación

Parámetros: SITE: SitioFILETYPE: Tipo de fichero especificoLINK: EnlacesCACHE: Caché de googleINTITLE:Título de la páginaINURL: Dirección de la páginaRELATED: RelativoDEFINE: DefiniciónPHONEBOOK: Direcciones

Caracteres:

Incluir/Excluir : (+) (-) Frase exacta : (“) Comodines : (.) (*)


2.- Recopilación

Servidor proxy:

www.google.es/translate?u=http://www.playboy.com&langpair=en|en

Navegación anónima:

Uso del caché

Cabeza de puente:

Indexar página con miles de URL de ataque


2.- RecopilaciónCrawl: site: www.microsoft.com

site: microsoft.com –www.microsoft.com

Listados: intitle: Index.of/adminintitle: index.of apache server atallintitle: "index of/root"

Páginas por defecto:

intitle:test.page.for.apache "it worked"allintitle:Netscape FastTrack Server Home Pageintitle:"Welcome to Windows 2000 Internet Services"intitle:welcome.to.IIS.4.0allintitle:Welcome to Windows XP Server Internet Servicesallintitle:"Welcome to Internet Information Server"allintitle:Netscape Enterprise Server Home Pageallintitle:Netscape FASTTRACK Server Home Page


2.- Recopilación


2.- RecopilaciónDocumentos: intitle:"Apache HTTP Server"

intitle:"documentation"

Errores: intitle:"Error using Hypernews" "Server Software""HTTP_USER_AGENT=Googlebot""HTTP_USER_AGENT=Googlebot" TNS_ADMIN

CGI Scanner: inurl:/iisadmpwd/

PortScanning: inurl:5800"VNC Desktop" inurl:5800inurl:webmin inurl:10000

Fingerprinting: intitle:”the page cannot be found” “please * * following” “Internet * Services”


2.- Recopilación


2.- RecopilaciónLogin: inurl:/admin/login.asp

Específicos como MS Outlook OWA :

inurl:/outlook "Exchange Users Only“+intitle:Outlook Web Access -inurl:microsoftallintitle:Outlook Web Access Logon

¿OTROS?

ColdFusion página administradorCitrix MetaframeWindows Remote Desktop


2.- Recopilación


2.- Recopilación

Otros : inurl:"auth_user_file.txt""Index of /admin" "Index of /password""Index of /mail""Index of /" +passwd"Index of /" +password.txt"Index of /" +.htaccessindex of ftp +.mdb allinurl:/cgi-bin/ +mailtoalliurl:phpinfo.php

administrators.pwd.indexauthors.pwd.indexservice.pwd.indexfiletype:config webgobal.asax index

http://www.googlemania.com/googledoorks.php http://johnny.ihackstuff.com


2.- Recopilación


2.- RecopilaciónOtros :

allintitle: "index of/admin"allintitle: "index of/root"allintitle: sensitive filetype:docallintitle: restricted filetype :mailallintitle: restricted filetype:doc site:gov

inurl:passwd filetype:txtinurl:admin filetype:dbinurl:iisadmininurl:"auth_user_file.txt"inurl:"wwwroot/*."“WS_FTP.LOG“

top secret site:milconfidential site:mil

allinurl:winnt/system32/ (get cmd.exe)allinurl:/bash_history


2.- Recopilación


2.- RecopilaciónOtros :

intitle:"Index of" .sh_historyintitle:"Index of" .bash_historyintitle:"index of" passwdintitle:"index of" people.lstintitle:"index of" pwd.dbintitle:"index of" etc/shadowintitle:"index of" spwdintitle:"index of" master.passwdintitle:"index of" htpasswdintitle:"index of" members OR accounts intitle:"index of" user_carts OR user_cart

_vti_inf.html service.pwd users.pwd authors.pwd administrators.pwd shtml.dll shtml.exe fpcount.exe default.asp showcode.asp sendmail.cfm getFile.cfm imagemap.exe


2.- Recopilación


2.- Recopilación


2.- RecopilaciónAutomático: SITEDIGGER (FOUNDSTONE)


2.- RecopilaciónMAS: johnny.ihackstuff.com/index.php?module=prodreviews


2.- Recopilación


3.- Protección

o Política de seguridad

o Proteger el servidor web

o Auditoría de hacking Google

o Eliminación de páginas de Google

o Google Hack Honeypot (GHH)


Política de seguridad

o Publicación de información en la web

o Envío de mensajes a listas/grupos de noticias

No archivar mensajes en grupos de noticias

No revelar información acerca de sistemas, arquitectura, personal, etc.

o Política de seguridad web

o Auditoría periódica de hacking Google


Proteger el servidor web

o No hacer accesible información privada (indexación)

o No permitir listados de directorios

o Bloqueo de buscadores mediante robots.txtUser-agent: googlebot

Disallow: /directorio/archivos

o No indexar:<META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW">

o No almacenar en caché:<META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”>

<META NAME=“GOOGLEBOT” CONTENT=“NOSNIPPET”>

o Protección mediante contraseña


Proteger el servidor web

o Eliminación de páginas y aplicaciones predeterminadas

Directorios, archivos y aplicaciones de ejemplo

o Adecuada gestión de erroresMensaje de error significativo al usuario

Información de diagnóstico al administrador

NINGUNA información al atacante

Consistencia entre los mensajes de error

Detección de errores repetitivos


Auditoría de hacking Googleo Gooscan

Para Linux

Viola la política de Google

o Athena:Para .NET

Viola la política de Google

o SitediggerSimilar a Athena

Basado en la API de Google

o WiktoEscáner de vulnerabilidades


Eliminación de páginas de Google

o Eliminación en local

o Eliminación de la caché de Google desde la página de eliminaciones services.google.com/urlconsole/controller

Dirigirle al archivo robots.txt

Utilizar una directiva META

Opción de eliminación de enlaces antiguos


Google Hack Honeypot

o GHH emula el comportamiento de firmas GHDB para ser encontrado por Google

o Por ahora sólo para Apache y PHP

o Una vez instalado, se debe hacer que Google lo indexe

o Los logs registran quién visita el sitio a través de Google (Google hackers)

o Se puede personalizar

o Incorporará un visor especializado


4.- Conclusiones

o Auditor Google como herramienta fácil para obtener información

o Administrador Minimizar el grado de información accesible


¿Preguntas?

o http://www.iec.csic.es/~gonzalo/


Attribution. You must give the original author credit.

For any reuse or distribution, you must make clear to others the license terms of this work.

Any of these conditions can be waived if you get permission from the author.

Your fair use and other rights are in no way affected by the above.

This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.

Creative Commons Attribution-NoDerivs 2.0 You are free:

•to copy, distribute, display, and perform this work

•to make commercial use of this work

Under the following conditions:

No Derivative Works. You may not alter, transform, or build upon this work.

http://creativecommons.org/licenses/disclaimer-popup

Protección contra Hacking con Google - index-of.co.uk/index-of.co.uk/Various/ProteccioncontraHackingconGoogle.pdfCONFERENCIAS FIST -3- NeuroCrypt, S.L. Anatomía de un ataque Recopilación

Documents