クラッカーがGoogleを使って脆弱なサイトを探す方法の例

   このエントリをはてなブックマークに登録    2006/12/28

Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。)

このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。

これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。

秘密鍵を探す

秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。



BEGIN (CERTIFICATE|DSA|RSA) filetype:csr

http://www.google.com/search?q=BEGIN+%28CERTIFICATE%7CDSA%7CRSA%29+filetype%3Acsr




ユーザ名とパスワードを探す



"admin account info" filetype:log

http://www.google.com/search?q=+%22admin+account+info%22+filetype%3Alog


例えば、以下のような結果が出てきてしまいます。


09-08-05 20:19:59,WARNING,Info,SERVER, admin account info: username: admin password: 92pve5
09-08-05 20:19:59,WARNING,Info,SERVER, superadmin account info: username: superadmin password: 2fonah



アクセス解析CGIのパスワードを探す



"AutoCreate=TRUE password=*"

http://www.google.com/search?q=%22AutoCreate%3DTRUE+password%3D*%22


「Website Access Analyzer」というアクセス解析用のCGIで使われているパスワードを探しています。 日本製のCGIのようで、日本のサイトが出てきます。



FTPソフトの保持しているパスワードを探す



"index of/" "ws_ftp.ini" "parent directory"

http://www.google.com/search?q=%22index+of%2F%22+%22ws_ftp.ini%22+%22parent+directory%22


   このエントリをはてなブックマークに登録   





あきみち

アカマイ 知られざるインターネットの巨人

インターネットのカタチ もろさが織り成す粘り強い世界
「インターネットのカタチ - もろさが織り成す粘り強い世界 -」関連資料

マスタリングTCP/IP OpenFlow編
「マスタリングTCP/IP OpenFlow編」関連資料

Linuxネットワークプログラミング




外部サイト

プレコ王国
ディスカス魂
金魚タイムズ
YouTubeチャネル
Twitter
Facebook

フィードメーター - Geekなぺーじ
Copyright (C) Geekなページ.
All rights reserved. 無断転載や無断コピーなど、私的利用の範囲を逸脱した利用はおやめ下さい.