看看黑客是怎样使用Google黑掉Windows服务器

在我的《为什么使用Google扫描安全漏洞》的技巧中，我讨论了如何使用Google.com来执行对你的面向公众的服务器的安全扫描――包括Windows、IIS、Apache和（但愿不会如此！）SQL Server。你能使用它得到服务器的信息、包含敏感信息的文件和检测出“暗藏的”登录页、服务器日志文件，以及很多其它的东西。而在这个技巧中，我将描述一些极好的Google工具，和基本的Google查询，帮助你搜索那些你还没有意识到，但能够被公众获取的敏感信息。 这一系列的技巧包含以下几方面的内容，它们分别是： 目录： 为什么使用Google扫描安全漏洞 用Google工具自动执行黑客测试 用Google查询人工执行黑客测试 四个步骤保护Windows数据远离Google黑客 为什么使用Google扫描安全漏洞 如果你正在执行信息安全评估――渗入测试、漏洞评估，或者范围更广的黑客测试――你就不能没有一个相应的测试工具。虽然对于一个网站来说，此类工具很难找，但Google（是的，www.google.com）还是一个你可以使用的，能够测试Windows系统安全漏洞的最热工具中的其中之一。假设它的功能和力量能够被用来攻击你，那么在对你的恶意攻击之前，这是一个让你知道自己系统漏洞，并采取相应保护措施的好工具。 除了能够用Google做你能做的事情之外，它的最大优势之一就是不存在价格上的问题。Google被认为是穷人的安全评估工具，或者是为那些很少，甚至没有IT预算的安全管理员（即几乎所有的人）提供的工具。我个人是商业安全评估工具的大力提倡者，它们有助于提供更加详尽的测试项目、优良的报告能力和其它可以使你的评估工作更加容易的工具。然而，“花多少钱办多少事”，有时和它们并不相符。Google能够提供像黑客一样的眼睛，做你想像不到的事情，或者能够做任何安全测试工具（包括商业软件、免费软件或开源软件）能够做的事情，而这一切都是免费的！ 和许多外部测试工具一样，Google能够看到当前你为网络世界提供的服务。并且，它能够搜集、缓存、寻找和挖掘那些对你来说并不是很新的信息，或者在你不知道的情况下放上互联网的内容。在执行安全评估查询方面，你可以有几个选择，在Google的首页，高级搜索页面，甚至使用Google API写一个你自己的Web应用程序。 当在你的系统上执行信息安全测试时，你最想做的就使像黑客一样进行查看，这也是Google最为擅长的。这里是一些进行黑客测试时Google能够找到的信息的例子： 1.信用卡信息（credit card information）、社会安全号（social security number）和其它公众可以通过Web应用程序和数据库访问的机密信息。 2.网络摄像头。 3.文字处理文档、电子表格和演示文稿文件。 4.Outlook Web Access相关的文件。 5.默认的（通常是不安全的）IIS文件和自定义的ISS错误信息。 6.本想隐藏的Web登录页面。 7.进行不属于你的网络的主机欺诈。 8.包含敏感信息的新闻组帖子。 以上述的最后一个为例，当在Google Groups中执行一个基本的查询时，我看到了一个我认识的电信供应商的支持组信息，它是由供应商的网络管理员发表的。那个帖子泄漏了供应商内部网络的详细配置，包括网络布局、内网IP地址和主机名。它显露出的这么多信息给我的第一感觉是，我不应该信息那个公司，并将自己企业的敏感信息交给他们。我使用公司的名称和几个关键词，执行简单的搜索就找到了这些信息，若是使用Google的高级搜索，还不知道能够找到多少信息呢！ 在今天高价漏洞评估工具的世界里，Google是一阵清新的空气，它的安全测试查询是无敌的！作为一个安全漏洞检测的顶级人士，你不仅需要像黑客一样进行工作，还需要有创新的测试方法，Google无疑就是这样一款工具，他允许你进行这样的工作。 在不久的将来，我将向你讲述使用真实的Google查询测试你的Windows系统的安全，这将帮助你确定自己的Windows系统是否足够健壮。 用Google工具自动执行黑客测试 已经有多种Google工具能够自动执行黑客测试，或者增强Google黑客测试的能力，它们包括： ·Johnny Long的Google Hacking Database (GHDB)：http://johnny.ihackstuff.com/index.php?module=prodreviews，提供许多查询样例，你可以调节这些样例，将其用于你自己的站点或域名上。 ·Foundstone公司的SiteDigger（http://www.foundstone.com/resources/proddesc/sitedigger.htm），它利用Foundstone自己个性化的Google查询，像Johnny Long的Google Hacking Database (GHDB)一样执行自动搜索。 注意：Google每天最多只允许运行1,000条查询，这看起来挺多，但对于此类工具来说，很快就能够执行完毕。 ·Johnny Long的Gooscan for Linux（http://johnny.ihackstuff.com/modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=5），它能够用来在Linux下执行命令行方式的Google查询。 ·Google Toolbar for Internet Explorer允许你不进入Google的首页www.google.com就能够在IE浏览器中直接输入关键词进行简单的查询。如果你是IE的反对者，还可以使用能够在Netscape或者Mozilla Firefox下执行的开放源码的Googlebar（http://googlebar.mozdev.org/）。 ·GooDelete（_history.htm">http://www.dirfile.com/goodelete_history.htm）能够清理那些你不想留下的，使用Google Toolbar查询留下的，可能包含敏感信息的缓存。 另外，如果你非常热心于Google黑客行为，你的书橱中就不能少了Johnny Long撰写的，具有很高评价的《Google Hacking for Penetration Testers.》（_ihackstuff-20/102-5005443-2664941?v=glance&s=books">http://www.amazon.com/exec/obidos/tg/detail/-/1931836361/ref=ase_ihackstuff-20/102-5005443-2664941?v=glance&s=books）这本书。 用Google查询人工执行黑客测试 在上一个技巧列出的自动查询工具之外，你可能还想执行自主的人工Google查询，这里是一些我在服务器上运行过的测试，它们可以作为你的开始。 注意：事实上，你能够使用Google进行的这些查询是非常非常少的一部分，你只需将你的想像力与前述的工具结合即可，它们对你要进行的查询的数量没有限制。 ·site:你的主机或者域名 需要找的关键字 这将测试搜索一个特定Internet主机或域名下的任意关键字，你可以使用如SSN、 confidential、finance、student等众多关键字。 ·filetype:想要找的文件扩展名 site:你的主机或者域名 这个测试将搜索你系统中的特定文件，你可以输入任意文件扩展名，比如doc、pdf、ppt、db、dbf等，只要是你能够想像到的就行。 除非你能够确定你的信息已经泄漏到了其它网站，否则就一直使用“site:”操作符来限定你的搜索结果。使用“link:”操作符则能够搜索连接到个页面上的超链接。 如果Google返回了查询结果，但其中的链接已经成为死链，你可以点击搜索结果下面的“快照”链接进行搜索和查找。这将搜索Google的缓存，你的信息可能有存在那里的机会。同样，确定在Google Groups（网上论坛）搜索敏感信息，我曾经利用这种方法，在这里搜索到很多有用的信息。你还可以查看Interesting Google Queries（http://artkast.yak.net/81）这个网页，找到针对Microsoft的特殊Google搜索技巧。
四个步骤保护Windows数据远离Google黑客 使用适当的对策，可以帮助你将高度机密信息远离Google，不能够被Google黑客搜索到。这里有四个步骤，你可以尝试做一下： 1.巩固你的服务器，并将其与外部环境隔离 有一个很不幸的事实是，许多关键服务器仍然完全暴露在Internet上，现在请收紧你服务器的存取控制，并将其放在_blank">防火墙之后。 2.设置robots.txt文件，禁止Google索引你的网页 你能够通过设置“googlebot”的“User-agent:”参数的方法保护网络服务器的文件和目录免受Google索引，方法是在“Disallow:”部分列出你想保密的信息。 或者，如果你想所有的Web机器人都不访问你的网站和网页，就请将“User-agent:”参数设置为“*”，不过记住，怀有恶意的在网上到处闲逛的人能够从你的Web Server上得到此文件，并且看到你不想被别人看到的是哪些信息。如果这看起来像互联网的弱点，那么它就是。你可以不用robots.txt文件，但你应该允许机器人只能索引那些具体的公开页面，或者通过输入“Disallow /”禁止它们索引任何以根目录开始的信息。 请访问The Web Robots Pages（http://www.robotstxt.org/wc/robots.html）获取如何配置你的robots.txt文件和如何执行更多反机器人欺骗的信息。Google同样有一个FAQ on Googlebot’s operation（http://www.google.com/bot.html）。 3.将高度机密的信息从公众服务器上去除 制定一项组织策略用来保护高度机密的信息（例如密码、机密文件等）远离公众可以访问的服务器。否则，使用任何可能的存取控制措施来保护它们，并且确保这些策略能够被强制执行，并且管理那些违规者。 4.保证你的服务器是安全的 为了维护服务器安全，请使用我在这一系列技巧中讨论过的Google测试工具和Google查询对其进行黑客测试。 我高度推荐使用自动化测试工具，譬如SiteDigger和Gooscan进行黑客测试，手工执行多个查询的方式不仅缓慢枯燥，还不易于管理。 记住，这些测试只是通过Google进行的挖掘测试，它们并不能代表所有的黑客和Internet安全，这些也不是测试所有系统漏洞的最好工具。作为替代，你必须使用“多层”测试手段：同时使用Google和其它免费的、开源的，以及――据我看来，最具有综合性和可靠性的――商业性的工具进行测试，这些商业性的工具我推荐的有SPI Dynamics公司的WebInspect（应用于Web应用程序，http://www.spidynamics.com/）、Application Security公司的AppDetective（用于Web数据库，http://www.appsecinc.com/）和Qualys公司的QualysGuard（用于操作系统和网络漏洞，http://www.qualys.com/）。 如果模拟黑客、渗入测试和普通的网络安全审计是你工作职责的一部分，这些Google黑客技术和相应的工具将成为你需要的安全工具箱中的一部分。为了安全的缘故，请现在就开始执行它，并且以后也经常执行。