Cтатистика файлов которые не должны быть на сайте

Cтатистика файлов которые не должны быть на сайте (по популярности имен):

ДАННЫЕ ФАЙЛЫ ПОЗВОЛЯТ ЗЛОУМЫШЛЕННИКУ НАВРЕДИТЬ ВАШЕМУ WEB-РЕСУРСУ

На днях прислали совершенно замечательную заметку о тестовых файлах и дампах, оставленных на сайте после разработки.
Вроде, все знают, что так делать не надо — но масштабы разгильдяйства поражают.

Текст привожу как есть, с небольшими правками.


Я не буду говорит громких фраз типа «взлом сервера», т.к. цель моих аудитов как правило сводится к одному — найти способ получить доступ к конкретному сайту. Но даже тут, как правило работа начинается со сбора информации.

Допустим у вас сайт находится на каком-нибудь обычном хостинге. В корне сайта лежит phpinfo.php и что? Да то, что мы с легкостью можем узнать логин пользователя которому принадлежит данный сайт. А уж выяснить где он хостится дело пары минут. На самом деле обычное раскрытие путей позволит нам добиться этого же эффекта.

Решил узнать, как часто люди оставляют подобные файлы на продакшине в корне сайта. Далеко ходить не нужно, на хабре на эту тему было аж целых 3 статьи!
К сожалению (или к счастью), последная была размещена почти год назад.

Пробежавшись по комментам составил приличный список файлов в которые как правило запихивают вызов phpinfo(). После чего приступил к написанию простенького парсера, проверяющего на сайтах наличие этих самых файлов.

Когда парсер был уже готов пришла мысль расширить его функционал добавив проверку на наличие таких файлов, как dump.sql, dump.zip, site.tar.gz и т.п.
Итого, получился неплохой списочек. Затем этот список был немного расширен средствами парсера, т.к. были добавлены проверки вида %siteurl%.tar.gz, %siteurl%.sql и т.д. А ведь действительно, зачем искать всякие sql-injection и т.п., если можно скачать дамп сайта?

Ну все, хватит сопли разводить, перейдем к самому интересному — статистике. Всего было проверено 63 228 сайта. Обнаружено файлов из моего списка 12 041. Не хило правда?
Наличие потенциальных дампов 3518 3562 5,56%
Наличие потенциальных файлов конфигурации 540 558 0.85%
Наличие файлов с потенциальной информацией phpinfo 2976 3008 4.71%
Отладочная информация 3881 4913 6.14%


А теперь статистика по популярности имен:
test.php 1131 9,39%
info.php 670 5,56%
phpinfo.php 592 4,92%
1.php 485 4,03%
test/index.php 386 3,21%
install.php 318 2,64%
i.php 310 2,57%
pi.php 253 2,1%
php.php 234 1,94%
%SITEURL%.sql 219 1,82%
test1.php 217 1,8%
dump.sql 197 1,64%
p.php 183 1,52%
config.php.bak 183 1,73%
config.inc.bak 182 1,77%
sql.sql 181 1,5%
db.sql 181 1,5%
123.php 178 1,48%
site.sql 176 1,46%
debug.sql 172 1,43%
temp.php 171 1,42%
backup.sql 166 1,38%
database.sql 160 1,33%
www.sql 157 1,3%
_info.php 147 1,22%
tmp.php 143 1,19%
dump.php 136 1,13%
_phpinfo.php 134 1,11%
xxx.php 133 1,1%
%SITEURL%.tar.gz 132 1,1%
info_.php 125 1,04%
qqq.php 125 1,04%
killall-9.php 125 1,04%
hack.php 124 1,03%
qwe.php 123 1,02%
delete-production.php 123 1,02%
fuck.php 123 1,02%
wso.php 123 1,02%
zzz.php 122 1,01%
phpinfo_.php 121 1%
php.info.php 120 1%
asd.php 120 1%
phpphp.php 119 0,99%
dick.php 119 0,99%
suck.php 118 0,98%
asdf.php 117 0,97%
zxc.php 117 0,97%
site.tar.gz 112 0,93%
dump.tar.gz 111 0,92%
db.tar.gz 111 0,92%
%SITEURL%.zip 110 0,91%
sql.tar.gz 109 0,91%
backup.tar.gz 109 0,91%
public_html.tar.gz 104 0,86%
download.tar.gz 96 0,8%
www.tar.gz 94 0,78%
database.tar.gz 94 0,78%
site.zip 85 0,71%
backup.zip 83 0,69%
db.zip 82 0,68%
dump.zip 80 0,66%
public_html.zip 80 0,66%
www.zip 78 0,65%
config.php.txt 74 0,61%
db.txt 72 0,6%
download.zip 69 0,57%
database.zip 66 0,55%
config.inc.txt 63 0,52%
sql.zip 56 0,47%
sql.txt 56 0,47%

Комментариев нет:

Отправить комментарий