Leichter hacken mit Google

08.10.2006

Dank der neuen Google Codesearch Beta wird Hackern derzeit die Arbeit wesentlich erleichtert, fremder Leute Blogs auseinander zu nehmen. Beispiel gefällig?

Einfach mal wp-config.php suchen lassen

English translation

Thanks to the new Google Codesearch Beta hackers have an easy job to exploit other people’s blogs. Example wanted?

Perform a quick search for wp-config.php

Verwandte Artikel:



Hinweis: Wegen des hohen Aufkommens an Kommentarspam und als Kommentar getarnten Werbelinks werden alle Kommentare auf diesem Blog zuerst in die Moderation geschickt. Ich schalte neue Kommentare von echten Besuchern so schnell wie möglich frei. Beleidigende oder gegen geltendes Recht verstoßende Kommentare werden gelöscht.

Bisher 14 Kommentare zum Artikel

Seiten: [2] 1 »

  1. macosbrain meint

    14 23.11.2006, 19:56 Uhr

    solche späße konnte man aber auch schon in google (ohne codesearch) hinbekommen.

    z.b.

  2. CountZero meint

    13 10.10.2006, 13:14 Uhr

    um das mal deutlich so zu sagen: das war schon immer so - immerhin ist das www ursprünglich als kontaktplattform für wissenschaftler entstanden. der consumer-hype war in der form wohl nicht so geplant.

  3. Walle meint

    12 10.10.2006, 11:41 Uhr

    ah ok!

    den 2. absatz hab ich auch so verstanden.

    das problem ist meiner meinung nach, dass man immer mehr experte sein muss, um auch nur 3 schritte im internet zu überleben.

  4. CountZero meint

    11 10.10.2006, 02:48 Uhr

    @walle: kommt drauf an. in den meisten fällen kann man dann wohl davon ausgehen, daß der mysql-server auf derselben maschine läuft un implizit dann “localhost” verwendet wird, folglich bestehen dann gute aussichten, direkt über den hostnamen oder die ipadresse an port 3306 heranzukommen - denn nicht viele hostingprovider sind schlau genug ihre mysql-datenbanken ausschließlich für zugriffe aus dem eigenen intranet freizuschalten.

    es ist hier in diesem fall zwar eindeutig kein sicherheitsloch in WordPress selbst, sondern es liegt vielmehr eine kombination aus “tot wegen saudoof” und schlechter serverconfig vor, als durchaus bedenklich stufe ich diese tolle neue suche von google trotzdem ein.

  5. Walle meint

    10 09.10.2006, 22:35 Uhr

    Naja, solange man bei “DB_HOST” nix eingetragen hat, ist man ja noch halbwegs sicher, dann ist doch zumindest die Datenbank unbekannt? Oder sehe ich dass falsch?

  6. Viktor meint

    9 08.10.2006, 22:44 Uhr

    und wer schreibt die armen Leute jetzt an und sagt denen, dass Ihre Passwörter im Netz sind ??

  7. MrSnoop meint

    8 08.10.2006, 20:56 Uhr

    Das Problem kommt wohl eher daher, dass die Leute ihre Konfigurationsdateien als *.zip etc. (also gepackt) auf dem Server liegen haben (bzw. auch in einer svn-Umgebung). Wenn Google nun diese Files durchsucht kann man natürlich auch direkt in die PHP-Dateien schauen. Der Webserver weiß ja nicht, welche Dateitypen sich innerhalb des Packets befinden.
    Fazit: Wer so blöd ist seine Source-Dateien als ZIP etc. auf dem Server zu hinterlegen, arf sich nicht wundern, wenn diese Infos öffentlich werden. Und wenn man schon unbedingt ein BAckup auf dem Server haben will, dann in einem von außen nicht sichbaren Bereich, oder mit Passwort.

  8. Pingbacks & Trackbacks

    • Vie de Malchance
    • pl0g.de
    • miZine » Blog Archive » Danke Google :(

Seiten: [2] 1 »



« Der Playstation3-Hype beginnt
Ich bin Lottogewinner »