मंगलवार, 1 मार्च 2011
गूगल है हैकर्स का सबसे अच्छा मित्र लाइव सिक्योरिटी कैमरा, मनपसंद गाने, किताबे, वीडियोज सिर्फ कुछ सेकंड्स में
आपने मेरी पिछली पोस्ट में देखा की केसे हैकर्स अलग अलग कोड का इस्तेमाल हेकिंग करने में करते है ऐसे और भी कोड है जिनका इस्तेमाल हैकर्स बहुत करते है आज मैं उसी के बारे मैं जानकारी दे रहा हू
वेब सर्वर की डायरेक्टरी सूची
वेब सर्वर की डायरेक्टरी सूची वह वेबपेज होता है जो वेब सर्वर पर मौजूद डायरेक्टरी और फाइल्स को दिखाता है। यह इसलिए बनाई जाती है ताकि वेबसर्वर एडमिनीस्ट्रेटर अपना काम आसानी से कर सकें। पर अगर ये सूची हैकर्स के हाथ लग जायें तो यह वेब सर्वर एडमिनीस्ट्रेटर के लिए किसी बुरे स्वप्न से कम नही होगा वह इसलिए क्योकि यह सूचि वह फाइल भी दिखाती है जो पब्लिक नही होती अर्थात जिन्हे वेब सर्वरएडमिनीस्ट्रेटर दिखाना नही चाहते। हैकर्स डायरेक्टरी सूची को पाने के लिए (intitle:index.of) सर्च का यूज करते है। (intitle:index.of) को गूगल सर्च मे डालने पर गूगल वह सारे वेबपेज रिर्टन करता है जिनके टाइटल बार मे index of लिखा हुआ हो। टाइटल बार मे index of अधिकतर डायरेक्टरी सूची को दर्शाने के लिए लिखा जाता है।
यही नही (intitle:index.of "parentdirectory") को सर्च करने पर गूगल वह सारे डायरेक्टरी सूचियां रिटर्न करेगा जिनमे paren tdirectory शब्द हो। याद रखें इधर parent directory की जगह आप कोई ओर शब्द भी इस्तेमाल कर सकते है जैसे कि name size एक बार डायरेक्टरी सूची आने पर हैकर्स कई महत्वपूर्ण फाइल्स डाउनलोड कर सकते है। इनके अलावा वह अति महत्वपूर्ण admin डायरेक्टरी जो डायरेक्टरी सूची के अंतर्गत होती है, को एक्सेस करने के लिए हैकर्स (intitle:index.of.admin) या फिर (intitle:index.of inurl:admin) का इस्तेमाल करते है।
ऐसा करने से गूगल वह डायरेक्टरी सूचियां रिटर्न करेगा जिनके वेबपेज के यूआरएल मे admin आता हो।
किसी खास साईट की डायरेक्टरी सूची देखने के लिए हैकर्स intitle आपरेटर के साथ site आपरेटर का उपयोग भी कर सकते है। उदाहरण के लिए(intitle:index.of site:infinityexists.com) सर्च करने से आपको सिर्फ(infinityexists.com) की ही डायरेक्टरी सूची मिलेगी। याद रखें कि आपको हर वेब सर्वर की डायरेक्टरी सूची मिले ऐसा अनिवार्य नही है, क्योकि यह जरूरी नही कि हर वेब सर्वर की डायरेक्टरी सूची ऐनेबल्ड हो।
वेबसर्वर का वर्जन नंबर ज्ञात करना
किसी वेवसाइट के वेबसर्वर का वर्जन नंबर मिल जाना हैकर्स के लिए खुशी की बात होती है क्योकि फिर वह इस वर्जन नंबर के लिए बनाए गए एक्सप्लाइट्स को वेबसर्वर के खिलाफ रन करवा सकते है। एक्सप्लाइट्स सी या पर्ल लैंग्वेज मे बने वो प्रोग्राम्स होते है। जिन्हे कम्पाइल कराते ही हैकर्स को सर्वर में सेंध मारने का रास्ता मिल जाता है। हैकर्स के पास वेबसर्वर का कंटेल आने के बाद वह वेबसर्वर को काफी नुकसान पहुचा सकते है। यह एक्सप्लाइट्स और इनको इस्तेमाल करने का तरीका नेट पर फ्री मे उपलब्ध है तथा हर वर्जन के एक्सप्लाइट्स अलग होते है। नेट पर बहुत सी ऐसी कम्युनिटीज है जो एक्सप्लाइट्स बनाती है इनमे से प्रमुख है (www.milw0rm.com) और(www.metasploit.com) और भी ऐसी कई कम्युनिटीज के नाम related आपरेटर से ज्ञात कर सकते है।
तो अब बात आती है वेबसर्वर का वर्जन नंबर ज्ञात करने की इसक लिए वापस हम वेबसर्वर की डायरेक्टरी सूची की तरफ चलते है। किसी वेबसर्वर की डायरेक्टरी सूची के अंत मे वेबसर्वर का वर्जन नंबर लिखा होता है और यहां तक की कई बार वेबसर्वर के आपरेटिंग सिस्टम का नाम भी लिखा होता है। इसके अलावा किसी खास वेबसर्वर का वर्जन नंबर ज्ञात करने के लिए intitle आपरेटर और site आपरेटर का साथ मे प्रसोग किया जाता है। उदाहरण के लिए(www.media.foxhisper.co.uk) के वेबसर्वर का वर्जन ज्ञात करने के लिए(intitle:index.of"server at" site:media.foxhisper.co.uk) सर्च करे इसमे आपको वह वेबपेज मिलेंगे जिनमे server at लिखा हुआ होगा तथा इसके साथ वेबसर्वर का वर्जन नंबर भी लिखा होगा। आजकल कई वेबार्वर मे सूरक्षा के चलते या तो डायरेक्टरी सूची हटा दी जाती है या अगर होती भी है तो उसमे से वेबार्वर का वर्जन नंबर हटा दिया जाता है। ऐसे मे हैकर्स पोर्ट स्कैनर्स का प्रयोग करते है पोर्ट स्कैनर्स वह सोफ्टवेयर होते है जो टारगेट वेबसर्वर के हर पोर्ट पर मैसज भेजकर रेस्पॉन्स से वेबसर्वर का वर्जन नंबर तथा आपरेटिंग सिस्टम की महत्वपूर्ण जानकारी हैकर्स तक भेजते है तथा यह भी बताते है कि टारगेट सिस्टम मे कौन से पोर्ट खुले है। NMAP और NESSUS अब तक के सबसे उन्नत पोर्ट स्कैनर्स मे से है।
पासवर्ड की जानकारी लेना
वेबसर्वर की डायरेक्टरी सूची कई बार गलती से ऐसी फाइल्स दिखा देती है जिनके कन्टेन्ट मे महत्वपूर्ण पासवर्ड की जानकारी होती है। ऐसी ही एक फाइल है WS_FTP.ini फाइल। दरअसर FTP सर्वर के एनक्रीप्टेड पासवर्ड को WS_FTP क्लाइंट का सर्वाधिक इस्तेमाल किया जाता है और यह क्लाइंट एनक्रीप्टेड पासवर्ड को WS_FTP.ini फाइल मे स्टोर करके रखता है। इस फाइल को देखने के लिए हैकर्स (intitle:index.of ws_ftp.log) या (intitle:index.of "parent directory" "ws_ftp.ini") कोड का प्रयोग करते है। एक बार WS_TP.log या WS_TP.ini फाइल आने के बाद हैकर्स किसी फाइल डीक्रिप्टर से फाइल को डीक्रिप्ट करके पढ़ लेते है।
गूगल द्वारा लाइव सिक्योरिटी कैमरा लोकेट करना
यह एक टि्क है जिससे आप इंटरनेट से जूडे दुनिया के किसी भी कोने के लाइव सिक्योरिटी कैमरा द्वारा खींची गई तस्वीरे देख सकते है। हालांकि यह टि्क जगह विशेष न होकर कैमरा निर्माता विशेष है। इधर भी आपको करना सिर्फ यह होगा कि नीचे दिए गए कोड को गूगल पर सर्च करें।
ऐक्सिस कैमरा के लिए
(inurl:view/index.shtml)
कैनन वेबकैम के लिए
(intitle:liveapplet inurl:LvAppl)
मोबोटिक्स वेबकैम के लिए
(control/userimage.html)
इवोकैम के लिए
(intitle:"Evocam")
(inurl:"webcam.html")
पेनोसोनिक नेटवर्क कैमरा के लिए
(intitle:"ViewerFrame?Mode=")
यूएसबी के लिए
(intitle:"active webcam page")
फिर भी अगर आप किसी खास देश के कैमरा देखना चाहते है तो साथ मे site आपरेटर का भी उपयोग कर सकते है। उदाहरण के लिए(inurl:view/index.shtml site:uk) सर्च करने से आप युनाइटेड किंगडम के इंटरनेट से जुडे ऐक्सिस के लाइव सिक्योरिटी कैमरे द्वारा खींची गई तस्वीरें देख सकते है। इधर मजे की बात यह है कि कई कैमरा स्पष्ट देखने के लिए जूम सुविधा भी देते है।
मनपसंद गाने, किताबे, वीडियोज सिर्फ कुछ सेकंड्स में
गूगल के स्पेशल सर्च आपरेटर का सबसे बड़ा फायदा यह है कि आप कई सर्च आपरेटर एक साथ इस्तेमाल करके और भी अच्छे परिणाम पा सकते है। अब आप अपने मनपसन्द गाने, किताबे, विडियोज फ्री मे डाउनलोड कर सकते है वह भी बिना किसी झंझट के सिर्फ एक क्लिक मे। आपको करना सिर्फ यह होगा कि नाचे दी गई कोड को गूगल मे सर्च करें।
किताबो के लिए
(-inurl:(html|html|php)intitle:"index of"+"last modified"+parent directory"+description+size+(pdf|doc|chm) "hacking")
इससे आपको वह डायरेक्टरी सूचियां मिलेंगी जिनमें शब्द से जुडी किताबें होगी।
गानो के लिए
(-inurl:(html|html|php)intitle:"index of"+"last modified"+parent directory"+description+size+(wma|mp3) "shakira")
इस तरह आप शकीरा के गाने भी खोज सकते है।
वीडियोज के लिए
(-inurl:(html|html|php)intitle:"index of"+"last modified"+parent directory"+description+size+(mpeg|swv|avi|flv) "backstreet boys")
और बैकस्ट्ीट ब्वायज के विडियोज भी।
हालांकि एक और भी आसान तरीका है। ("parent directory"sahkira -xxx -html -htm -php -shtml -opendivx -md5 -md5sums) को गूगल सर्च करके भी आप सकारात्मक नतीजे पा सकते है।
उपर दी गई कोड मे कोई भी कोड सर्च करने पर आपको वह डायरेक्टरी सूची मिलेंगी जिनसे आप सर्च की हुई वस्तु सिर्फ एक क्लिक डाउनलोड कर सकते है। ध्यान दे कि सर्च के आगे (-) साइन इसलिए लगाया गया है ताकि inurl किसी वेबपेज मे ना आए उसी तरह (+) साइन जिनके आगे लगाया गया है वे शब्द वेबपेज मे आने चाहिए। क्योरी मे इस्तेमाल करा गया (|) लोजिकल OR की तरह काम करता है।
अब तो आप जान ही गए होंगे कि गूगल सिर्फ एक सर्च इंजन ही नही बल्कि हैकर्स का सबसे अच्छा मित्र भी है। तो अगर आप की भी कोई वेबसाइड है या आप वेब एडमिनीस्ट्रेटर है तो सावधान हो जाइए और ध्यान दे निम्नलिखित टिप्स पर अपनी वेबसाइड को काफी हद तक ऐसे हैकर्स से सुरक्षित बनाने के लिए
1- सबसे पहले आप अपने वेबसर्वर की डायरेक्टरी सूची को डिसेबल कर दे और यदि उसे एनेबल रखना जरूरी है तो उसमे से वेबसर्वर का वर्जन नंबर हटा दे। इसके लिए आप अपने एडमिनीस्ट्रेटर से बात करें
2- ऐनेबल्ड डायरेक्टरी सूची मे महत्वपूर्ण फाइल्स न रखें और यदि हो तो उन पर क्लिक करने वाले को 403 का फारबिडन ऐरर या सारी मैसेज दिखाएं। इसका भी अत्यधिक ध्यान रखें कि ऐरर मैसेज मे वेबसर्वर और वेबसाइड के डाटाबेस से संबधित कोई जानकारी न हो।
3- यदि हैकर्स गूगल द्वारा जानकारी जुटाते है तो इसमे गूगल की कोई गलती नही है क्योकि गूगल वो ही वेबपेज दिखते है जो उसे दिखाने के लिए कहा गया है। robots.txt वह फाइल होती है जो गूगल को यह बताती है कि गूगल को कौन कौन से वेबपेज दिखाने है और कौन से नही। robots.txt लेखन और नियमो के बारे मे अधिक जानकारी के लिए (www.robotstxt.org) पर जाएं। लिखते समय यह ध्यान रखे कि आप कोई महत्वपूर्ण फाइल जैसे कि एडमिन पासवर्ड या बेकअप फाइल गूगल द्वारा दिखाने को नही कह रहे हों।
उपर दिए गए टिप्स से आप हैकर्स को पूरी तरह रोक
सदस्यता लें
संदेश (Atom)