اقدام عجیب و بی سابقه Google Bot که کارشناسان امنیت را متحیر ساخت

23 مرداد 1396
نویسنده :  

در صورتی که شما کارشناس امنیت یک ارگانی مشغول به انجام وظیفه باشید یقینا درهنگام نوشتن قوانین در فایروال و یا در فایل های .htaccess موتور های جستجوی مانند بینگ، یاهو و غیره را مسدود نمی کنید و آنها را جزء منابع معتبر در شبکه خود معرفی می کنید  . حال در صورتی که شبکه شما مورد هجوم افراد خاصی واقع شود و شما قصد داشته باشید که متوجه بشوید که منبع حمله از کجا می باشد و از کجا به شما حمله شده است معمولا به سراغ فایل log ایجاد شده مراجعه می کنیم. در این سناریوی که در زیر به آن اشاره خواهیم کرد ممکن است در هنگام بررسی این فایل  با چیز غیر عادی و عجیبی مواجه شوید و از خود می پرسید آیا این را نیز باید مسدود کنیم ؟!! این دیگر چرا؟ ویا اینکه چرا این منبع حمله اقدام به چنین کاری کرده است ؟

درخواست GET :

تاچند روز اخیر این سناریو سری فاش نشده بود که  به شکل تصادفی این اطلاعات افشا شد. یک تحلیلگر امنیتی کشف کرده است که Google سعی در انجام برخی حملات SQL Injection بر روی وب سایت مشتری های خود دارد . این در حالی اتفاق افتاده است که این محقق ابتدا آدرس را مسدود کرده و گمان می کردند که این آدرس به طور اشتباهی در Log فایل خود ثبت شده است اما پس از بررسی دقیق متوجه چیز غیر عادی و عجیبی می شود زیرا که این آدرس کشف شده آدرس واقعی Google Bot است.

Google SQL Injection

 درواقع این ربات Google می باشد که اقدام به تزریق این کد در درخواست های Get  ایجاد شده می باشد. سوالاتی که پیش می آید این است که آیا Google هک شده است؟ آیا آدرس IP Google مورد هجوم واقع شده و هکر از این IP در حال استفاده کردن در سناریو خود می باشد؟ آیا این یک Clone Google Bot یا ربات گوگل شبیه سازی شده توسط هکر خاص می باشد؟ که در جواب تمام این سوالات باید گفته شود که خیر !!!. برای اثبات این قضیه کافی است در دستور تفکیک شده زیر دقیقتر بشویم...

Google SQL Injection

Google هیچ علاقه ای برای راه اندازی این حملات همانند هکر ها را ندارد .Google از Bot خود در کنار این حمله استفاده می کند در نتیجه نیازی به استفاده از منابع سرور ندارد و زمان را مانند هکره  صرف این گردآوری اطلاعات نمی کند و نیز بدون اینکه توسط IP  آن Trace شود دیده نمی شود.

در این سناریو Bot گوگل شروع به خزیدن در وب سایت A می کند این وب سایت لینک های زیادی را در خود جای داده که برخی از این لینک ها به سایت B اشاره می کنند که در اینجا سایت قربانی حساب می شود. که به راحتی هکر با استفاده از Google Bot و بازدید از این لینک ها و قرار دادن لینک های که برای استفاده از آسیب پذیری SQL Injection طراحی شده است کار های مخرب خود را انجام می دهد.

ما نمی توانیم گوگل را مسول این قضبه خطاب کرد زیرا که کار گوگل Crawling کردن در وب سایت شما و بازدید کردن از تک تک لینک هاست .برای مقابله با این موضوع نباید یک لیست سفید از سایت های معتبر را در سطح اول قرار دهیم در عوض باید تایید کنیم که در خواست شامل کلمات کلیدی عجیب مانند base64، Union، exec و غیره نباشد که برای این افزونه bbq وجود دارد که در خواست های مخرب را در نظر گرفت.

1343 تعداد بازدید
علی سالم پناه

متخصص شبکه و امنیت شبکه

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد