Zum Inhalt springen
Treten Sie dem Censys Community Forum bei: Verbinden, teilen und gedeihen! | Start hier
Blogs

Gehackte Webserver aufsp√ľren mit Censys Search ūüĒć

Laut dem Verizon Data Breach Investigations Report 2022 sind Webserver die am h√§ufigsten von Sicherheitsverletzungen betroffenen Assets. Dies ist nicht √ľberraschend - schlie√ülich machen Webserver oft den Gro√üteil der Internet-Infrastruktur eines Unternehmens aus und sind daher eher gef√§hrdet als andere Arten von digitalen Ressourcen.

Die Suche nach gehackten Webservern kann in vielerlei Hinsicht n√ľtzlich sein:

  • Verteidiger k√∂nnen Bedrohungsakteure bei ihrer Arbeit verfolgen, d. h. sie k√∂nnen die betroffenen Hosts schnell ausfindig machen und sofort Ma√ünahmen ergreifen, bevor weiterer Schaden angerichtet wird.
  • Forscher k√∂nnen unsichere Server aufsp√ľren und Trends im Verhalten und in der Methodik der Angreifer beobachten, um aus diesen Angriffen zu lernen und hoffentlich √§hnliche Angriffe in Zukunft zu verhindern.

Es gibt unzählige Methoden, um nach betroffenen Webservern zu suchen. In diesem Artikel zeigen wir Ihnen eine Möglichkeit, gehackte Webserver zu finden, indem wir Censys Search verwenden, um Ihnen den Einstieg zu erleichtern. Navigieren Sie zu search.censys.io, um uns zu folgen.

Auffinden gehackter Webserver mit Censys Search

Wir beginnen mit einer der einfachsten M√∂glichkeiten, verunstaltete Webserver zu finden: der Suche nach der Zeichenfolge "gehackt von". Bedrohungsakteure "signieren ihre Arbeit" √ľblicherweise, indem sie eine Nachricht auf einer Website hinterlassen, z. B. "Gehackt von [Handle des Akteurs]". Man kann sich das wie die Signatur eines K√ľnstlers auf einem Graffiti vorstellen. Gl√ľcklicherweise helfen diese Signaturen den Verteidigern und Forschern, die auf der Suche nach betroffenen Webservern sind. Wir k√∂nnen Censys verwenden, um auf der ganzen Welt nach diesen betroffenen Websites zu suchen, indem wir einfach nach Verunstaltungen suchen.

Unsere einfache Abfrage schränkt die Ergebnisse auf Censys-sichtbare HTTP-Server ein, die auf ihrer Weboberfläche die Zeichenfolge "hacked by" enthalten. Wir können virtuelle Hosts in diese Suchergebnisse einbeziehen, indem wir zunächst das Zahnradsymbol auf der Such-Homepage anklicken und "Virtuelle Hosts" auswählen: Einschließen" wählen, wie unten dargestellt.

Als N√§chstes k√∂nnen wir unsere Suche durchf√ľhren, indem wir diese Abfrage eingeben und auf "Search" klicken:

services.service_name=`HTTP` und services.http.response.html_title: "gehackt von"

Damit werden alle Censys-sichtbaren Hosts erfasst, auf denen HTTP läuft, unabhängig davon, auf welchem TCP-Port es läuft.

Anhand der zur√ľckkommenden Suchergebnisse und des hervorgehobenen Textes k√∂nnen Sie sofort erkennen, dass wir mit diesem Ansatz einige Perlen aufdecken.

Eine stichprobenartige √úberpr√ľfung der Suchergebnisse kann den Wert dieses Ansatzes best√§tigen - er hat eine hohe True-Positive-Rate. Achten Sie beim Zugriff auf diese Hosts darauf, dass Sie eine sichere Methode wie VPN, Proxychains oder Tor verwenden.

Wir k√∂nnen diese Ergebnisse weiter eingrenzen, je nachdem, woran wir interessiert sind. Einige zus√§tzliche Filter, die Sie in bestimmten Anwendungsf√§llen hinzuf√ľgen k√∂nnen:

  • Wenn Sie ein Netzwerk betreiben (z. B. eine Universit√§t, ein Hosting-Unternehmen oder einen Internet Service Provider) oder Berichte f√ľr Ihre Kunden sortieren m√ľssen, k√∂nnen Sie diese Abfrage einschr√§nken - wenn Sie z. B. bei einer nationalen CSIRT-Organisation arbeiten, k√∂nnen Sie nach dem Attribut "location.country" filtern (f√ľgen Sie z. B. einfach "AND location.country: [Ihr Land]" zur obigen Abfrage hinzu).
  • Wenn Sie f√ľr eine Landesregierung arbeiten und Ihrer Organisation helfen, erfolgreiche Hacking-Events zu identifizieren, k√∂nnen Sie nach dem Attribut "location.city" filtern.
  • Wenn Sie einen Internetdienstanbieter betreiben, k√∂nnen Sie mit dem Attribut "autonomous_system.asn: [your asn]" nach Ihrer autonomen Systemnummer filtern. Mit Hilfe der API k√∂nnen Sie diese Aufrufe regelm√§√üig t√§tigen und sich auf dem Laufenden halten, wenn wir diese Server finden.

F√ľr Verteidiger: Was ist zu tun, wenn Sie gehackte Server in Ihrem Unternehmen finden?

Reaktive Version: Sie reagieren im Nachhinein auf eine Sicherheitsverletzung

Wenn Sie sich um Schadensbegrenzung bem√ľhen, haben Sie eine ziemliche Herausforderung vor sich. Es gibt jedoch viele hilfreiche Leitf√§den und Tools von Leuten, die in Ihrer Situation waren (und das sind viele, Sie sind nicht allein!), die sich als n√ľtzlich erweisen k√∂nnen, wenn Sie auf einen Versto√ü reagieren m√ľssen. Sowohl Dreamhost als auch Sucuri bieten Leitf√§den f√ľr die Bereinigung nach einem Website-Hack an, die beide einen guten Einstieg darstellen.

Zun√§chst m√ľssen Sie die problematischen Inhalte entfernen, die Website von einem Backup wiederherstellen, Sicherheitsl√ľcken schlie√üen, die Sie bei der Verfolgung des Angriffs/der Angriffe aufgedeckt haben, und einige Sicherheitstools hinzuf√ľgen, um zuk√ľnftige Probleme zu verhindern. Im Idealfall w√ľrden Sie reagieren, indem Sie Ihre angegriffenen Systeme auf einer aktualisierten, sicheren Plattform neu installieren, aber wir wissen, dass dies f√ľr die meisten Unternehmen keine realistische Option ist.

Da Censys niemals versucht, sich Zugang zu einem der Hosts im Internet zu verschaffen (wir glauben fest an eine gute Internet-B√ľrgerschaft), sammeln wir keine Daten dar√ľber, wie ein Server gehackt wurde. Die Daten von Censys k√∂nnen Ihnen jedoch helfen, die m√∂glichen Wege zu identifizieren, die ein Angreifer genommen hat, um auf Ihr System zuzugreifen. Ein Beispiel w√§re, dass ein Angreifer vielleicht FTP eingeschaltet lie√ü, was Sie mit ein wenig forensischer Analyse feststellen k√∂nnten. Diese kreative Analyse ist wichtig, damit Sie herausfinden k√∂nnen, was passiert ist, um die Sicherheitsl√ľcke zu schlie√üen und eine Wiederholung zu verhindern. Censys kann Ihnen den entscheidenden Einblick in die dem Internet ausgesetzten Dienste verschaffen, den Sie f√ľr Ihre Bedrohungsabwehr Bem√ľhungen ben√∂tigen, und Ihnen dabei helfen, Spuren und Verhaltensweisen von Angreifern zu finden, um Ihr Unternehmen zu verfolgen, umzuschalten und zu sch√ľtzen.

Ohne das Wissen, dass Sie gehackte Webserver haben, die mit Ihrem Unternehmen verbunden sind, k√∂nnten Bedrohungsakteure Ihre Systeme noch jahrelang weiter sch√§digen. Auch wenn es sich wie eine Niederlage anf√ľhlt, wenn Sie feststellen, dass Sie von Angreifern angegriffen wurden, haben Sie dennoch die Arbeit geleistet, die problematischen Hosts ausfindig zu machen und die Sicherheitsl√ľcke zu schlie√üen, bevor sie noch gr√∂√üer wird.

F√ľr Forscher: Entdecken und verfolgen Sie Trends im Internet

Wenn Sie ein Forscher sind, k√∂nnen die Arten von Sicherheitstrenddaten, die Sie in Censys aufdecken k√∂nnen, f√ľr bestehende Forschungsprojekte und f√ľr das Brainstorming f√ľr neue Projekte sehr n√ľtzlich sein.

Als ersten Schritt empfehlen wir Ihnen, interessante Sicherheitstrends im Internet zu erforschen, indem Sie Daten auf globaler Ebene mit der Suchfunktion Censys analysieren und dabei unsere Funktion zur Erstellung von Berichten nutzen:

Erstellen wir einen Bericht aus den Suchergebnissen, die wir zuvor in diesem Beitrag aufgedeckt haben, und fassen wir die Daten nach dem Land zusammen, in dem jeder Webserver gehostet wird, indem wir das Feld "location.country" verwenden. Wir können die Daten mehr oder weniger granular machen, indem wir das Feld "Number of Buckets" anpassen.

Dieser Bericht zeigt, dass die Vereinigten Staaten mit 3,46 % der gehackten Server, die in den USA gehostet werden, dominieren.

Aber dieses Diagramm ist f√ľr sich genommen irref√ľhrend. W√ľrde man diese Ergebnisse f√ľr bare M√ľnze nehmen und sie interpretieren, k√§me man wahrscheinlich zu falschen Schlussfolgerungen. Ein wichtiger Unterschied in diesem Bericht ist, dass die Hosts nicht gleichm√§√üig √ľber die Welt verteilt sind. Die USA beherbergen einen gro√üen Teil des IPv4-Adressraums, so dass diese Trenddaten ungerechtfertigterweise auf dieses Land ausgerichtet sein k√∂nnten. Stellen Sie sich das so vor: Wenn zwei L√§nder jeweils 20 Server haben, die "gehackt von" melden, das erste Land aber 100 Server hat und das zweite 10000, dann ist das eine Rate von 20 % gegen√ľber einer Rate von 0,2 % "gehackt von" Instanzen.

Wir m√ľssen damit beginnen, den Kontext in das Bild einzuf√ľgen. In diesem Beispiel werden wir zwei Gruppen von Ergebnissen aus Censys miteinander verkn√ľpfen:

  1. Die Anzahl der HTTP-Server mit der Zeichenfolge "gehackt von" nach Land
  2. Die Gesamtzahl der Hosts, auf denen HTTP läuft, nach Land (siehe Abbildung unten)

When we scale the ‚Äúhacked by‚ÄĚ values (the first data set) by the number of web servers in each country (the second set), filtering out countries where the former value is trivially small (n<5), we see a different picture.

In den Tabellen 1 und 2 sind die 10 h√§ufigsten und die 10 schlechtesten F√§lle von "gehackt von" Webservern pro Kopf der Bev√∂lkerung f√ľr diese L√§nder aufgelistet. √úberraschenderweise f√ľhrt Indonesien die Rangliste in Prozent der Bev√∂lkerung an, und zwar mit einer Rate, die etwa dreimal so hoch ist wie die des zweitplatzierten Landes Singapur, was jedoch auf die im Vergleich zu Singapur geringere Anzahl an Webservern in diesem Land zur√ľckzuf√ľhren sein k√∂nnte.

Tabelle 1: Die 10 am stärksten betroffenen Länder mit Webservern pro Kopf

Italien hingegen hat aus unserer Sicht die niedrigste Rate an verunstalteten Webservern. Es ist interessant, verschiedene Faktoren zu untersuchen, die diese Ergebnisse erklären könnten, was auf die Möglichkeit einer umfassenderen Studie hinweisen könnte.

Tabelle 2: Die 10 am wenigsten betroffenen Länder pro Kopf der Bevölkerung Webserver

Diese Datenpunkte k√∂nnen zu einer umfassenderen Frage f√ľhren: Welche Merkmale, Vorschriften und gesellschaftlichen Trends k√∂nnten sich m√∂glicherweise darauf auswirken, warum beispielsweise in Indonesien oder Island mehr Websites pro Kopf gehackt werden als in anderen L√§ndern. Wie Sie sich vorstellen k√∂nnen, reichen Internetdaten allein nicht aus, um einen Kausalzusammenhang nachzuweisen, aber sie k√∂nnen genutzt werden, um interessante Datentrends zusammenzustellen, die eine Vielzahl von Forschungsprojekten unterst√ľtzen.

Eine globale Perspektive f√ľr die Sicherheit im Internet

Internetdaten k√∂nnen aufdecken, was wir √ľber unsere eigene Organisation nicht wissen, und gleichzeitig Echtzeit-Datentrends aufzeigen, die eine gr√∂√üere Geschichte √ľber die globale Internetsicherheit erz√§hlen.

Die Suche nach gehackten Webservern ist nur ein einfaches Beispiel, das Sie hoffentlich dazu anregt, kreativ dar√ľber nachzudenken, wie Sie die Daten vonCensys nutzen k√∂nnen. Unsere breite, globale Perspektive und die Tiefe der relevanten Sicherheitsdaten, die wir durchsuchbar machen, verschaffen Ihnen die n√∂tige Transparenz, um die Sicherheit zu verbessern.

Eine fr√ľhere Version dieses Beitrags, die f√ľr Censys Search 1.0 geschrieben wurde, erschien in unserem Blog-Archiv. Dieses Tutorial ist auf dem neuesten Stand mit den Funktionen von Search 2.0, als es geschrieben wurde.

√úber den Autor

Himaja Motheram
Sicherheitsforscher
Himaja Motheram ist Sicherheitsforscherin bei Censys und arbeitet an der Beantwortung interessanter Fragen √ľber das Internet anhand von Censys Search Daten.

√Ąhnlicher Inhalt

Zur√ľck zu Ressourcen Hub
L√∂sungen f√ľr das Management von Angriffsfl√§chen
Mehr erfahren