Довольно часто хакеры используют поисковые системы, в частности Google, для поиска “дыр”, через которые можно получить доступ к сайту или серверу. Для этого применяются специально сформированные поисковые запросы, которые на сленге называются “гуглохаки”. А так же различные программы-сканеры. В этой статье мы расскажем как можно отследить такие разведки перед взломом с помощью технологии Google Hack Honeypot.
Как говорилось выше, в данном случаи мы воспользуемся “Google Hack Honeypot”, который создан специально для отслеживание использования “гуглохаков”. Примером “гуглохака” может послужить запрос для поиска паролей от ftp-доступа к сайту: Index.of ws_ftp.ini
Итак:
– идём на сайт и скачиваем приманку.
– скачанный архив разархивируем. Файлы config.php и файл для ведения логов загружаем в папку, недоступную для просмотра, в смысле не в корневом каталоге htdocs. А остальные файлы загружаем в любое место в htdocs. Файл readme.txt внимательно читаем, выполняем рекомендации по установке и удаляем.
– в config.php пропишите путь к файлу логов (например /Apache/ghhlog.csv и не /Apache/htdocs/ghhlog.csv) и их тип.
– отключаем RegisterGlobals в php.ini (если требуется).
– в index.php приманки прописываем путь к config.php и адрес страницы, от куда идёт ссылка на ханипот.
– для того, чтобы наша приманка стала работать, нужно сделать, чтобы её начали видеть и индексировать поисковые системы. Для этого нужно на станице сделать скрытую ссылку в виде
Всё. Ждём когда поисковики проиндексируют приманку и она начнутся писать логи.