Как отловить сканирование директорий сервера и использование “гуглохаков”

Довольно часто хакеры используют поисковые системы, в частности Google, для поиска “дыр”, через которые можно получить доступ к сайту или серверу. Для этого применяются специально сформированные поисковые запросы, которые на сленге называются “гуглохаки”. А так же различные программы-сканеры. В этой статье мы расскажем как можно отследить такие разведки перед взломом с помощью технологии Google Hack Honeypot.

Если кратко, то технология Honeypot – это “система-приманка”, невидимая для пользователей, но индексируемая поисковыми системами и сканерами среда, которая эмитирует уязвимое вэб-приложение. И при заходах, не важно, поискового бота, или сканера, будет вестись в лог-файл с информацию о хосте, включая IP адреса, информация о переходе и пользовательском агенте. А кроме обычных текстовых логов, можно ещё использовать MySQL или XMLRPC.

Как говорилось выше, в данном случаи мы воспользуемся “Google Hack Honeypot”, который создан специально для отслеживание использования “гуглохаков”. Примером “гуглохака” может послужить запрос для поиска паролей от ftp-доступа к сайту: Index.of ws_ftp.ini

Итак:
– идём на сайт и скачиваем приманку.
– скачанный архив разархивируем. Файлы config.php и файл для ведения логов загружаем в папку, недоступную для просмотра, в смысле не в корневом каталоге htdocs. А остальные файлы загружаем в любое место в htdocs. Файл readme.txt внимательно читаем, выполняем рекомендации по установке и удаляем.
– в config.php пропишите путь к файлу логов (например /Apache/ghhlog.csv и не /Apache/htdocs/ghhlog.csv) и их тип.
– отключаем RegisterGlobals в php.ini (если требуется).
– в index.php приманки прописываем путь к config.php и адрес страницы, от куда идёт ссылка на ханипот.
– для того, чтобы наша приманка стала работать, нужно сделать, чтобы её начали видеть и индексировать поисковые системы. Для этого нужно на станице сделать скрытую ссылку в виде , где “точка” должна быть одного цвета с фоном. Или можно сделать так, img src=http://вашдомен.com/honeypot.php width=0 height=0

Всё. Ждём когда поисковики проиндексируют приманку и она начнутся писать логи.