Man liest viel über Filesharing oder auch P2P, aber nur sehr wenige schreiben über W2G2H (Webmaster-to-Google-to-Hacker).

Programmierer sind faul, sie wollen sich möglichst Arbeit erleichtern und bedienen sich z.B. dem Include-Befehl, einer Möglichkeit eine Datei in andere Dateien einzufügen. Meistens benutzt man eine Dateiendung die schon aussagt um was für eine Datei es sich handelt, meist inc für INClude.

Wenn man nun dieses Includen benutzt dann sollte man bei Verwendung von PHP noch ein .php anhängen, denn: http://domain.tld/inc/datei.inc gibt den vollen Quelltext der Datei im Browser aus, aber http://domain.tld/inc/datei.inc.php schickt die Datei erst durch den PHP-Parser des WebServers und gibt dann nur das Ergebnis an den Browser weiter, also nur das was z.B. per echo ausgegeben werden soll.

Wenn nun in einer Include-Datei folgender Code steckt

<?

$db_host=”localhost”;

$db_name=”d7878-1″

$db_user=”u7878″;

$db_pass=”sachichnet”;

?>

dann würde bei einer db_connect.inc.php nichts im Browser ausgegeben, wenn der Dateiname aber nur db_connect.inc lautet wird der volle Quelltext im Browser angezeigt, da eine inc-Datei vom WebServer wie eine Textdatei behandelt wird.

Man sollte meinen das 2007 niemand mehr nackische Include-Dateien (ohne .php) in die NetzWelt setzt… dem ist nicht so – und Google hilft finden!

über Google kann man leicht Zugangsdaten zu “abgesicherten” Bereichen einer WebSite oder zu Datenbanken etc. finden. Google hilft auch bestimmte Versionen einer WebSoftware zu finden die noch im Einsatz ist und nicht upgedated wurde, die noch Löcher aufweist, die von den Entwicklern schon seit Monaten oder gar Jahren gefixt wurden.

Nicht nur Programmierer sind faul, auch die WebMaster. Sie installieren eine Software und kümmern sich dann für Jahre nicht mehr drum. Haben evtl. sogar eine Betaversion im Produktiveinsatz, von einer WebSoftware die evtl. nicht mehr von den Entwicklern gepflegt wird oder von der es eine verbesserte Stable-Version gibt.

Es ist nicht immer offensichtlich wenn eine WebSite oder der WebServer gehackt wurde. Da werden dann persönliche Daten von Usern über lange Zeit abgegriffen, da werden Spam-Bots installiert oder illegales Zeuch verbreitet… und alles unter den (geschlossenen) Augen der WebMaster.

Hacker wissen natürlich um die Hilfe von Google und benutzen die Zusatzbefehle im Suchschlitz, wie z.B. inurl, intitle, filetype, etc. Diese Zusatzbefehle sind nicht geheim. Manchmal helfen Sie sogar bei der Suche wenn man nichts illegales vor hat.

Jeder sollte mal, nur so zum spaß, seinen WebServer, sein Hostingpaket, nach Dateien durchsuchen die nur eine inc-Endung aufweisen und schauen was dort drin steht. In alten, aber auch in neueren, CMS, Shops, Foren, etc. gibt es noch jede Menge an unsicheren Dateien.

Nun könnte man einwenden: Wie soll der Hacker auf den Dateinamen kommen, wenn er nicht direkt in Google angezeigt wird?

Bei WebSoftware die man installiert (CMS, Shop, Blog, etc.) sind die Dateinamen immer gleich. In der db_connect.inc der WebSoftware xY stehen immer die Zugangsdaten zur Datenbank drin. Und dann gibt es auch noch die Möglichkeit sich den Inhalt von Verzeichnissen über den Browser anzeigen zu lassen. Dieses Verzeichnis-Listing sollte man abschalten oder zumindest entsprechende .htaccess- oder Index-Dateien einfügen. Google kennt 20,9 Mio. Verzeichnisauflistungen…

Eine angepaßte robots.txt kann den “guten” Suchmaschinen zwar sagen was nicht in den Index aufgenommen werden soll, aber diese Datei ist auch ein netter Hinweis für Hacker.

Man sollte es den Hackern nicht zu leicht machen – sonst verlieren die den spaß dran. ;O)