LeakIX: хакерский поисковик и анализ активных киберугроз
Сегодня я расскажу вам о перспективном поисковике для хакеров. Вы узнаете что это за проект, как он появился, и чем отличается от существующих сервисов. Также пройдемся по расширенному синтаксису и посмотрим на результаты выдачи.
Что из себя представляет Leakix?
Leakix — это свежий волонтерский проект, который сканирует подсети и собирает результаты на основе полученных данных. По сути, это еще один аналог Shodan, Zoomeye и Сensys.
Leakix является полностью бесплатным и работает в трех режимах: Services, Leaks и Webapp. Первый позволяет искать среди полученных результатов. Второй, отображает сервисы, которые используют слабые пароли (root:root, admin:admin, 123456) или доступны без них. Последний режим находиться в активной разработке, но пока не предоставлен на площадке.
Кроме основных функций, у Leakix есть API и приятная статистика. Функция API позволяет автоматически использовать результаты выдачи в своих проектах. Для удобного отображения нужно установить утилиту jq.
$ sudo apt-get install jq
API позволяет фильтровать запросы среди Services и Leaks, или получать со всех разделов. Общий запрос:
$ curl -sqH'Accept: application/json' 'https://leakix.net/host/78.47.222.185'|jq
Запрос для поиска среди Services:
$ curl -sqH'Accept: application/json' 'Search results for *
Запрос для поиска среди Leaks:
$ curl -sqH'Accept: application/json' 'Search results for *
Для более качественного поиска, в Leakix имеются операторы поиска, которые позволяют получать более точные результаты выдачи.
Давайте посмотрим, какой синтаксис можно использовать в этом сервисе.
- ports:3305 TO 3308 - можно указывать диапазон портов. В моем примере поиск по портам в диапазоне [3305 и 3308].
- timestamp:{* TO 2020-05-01} - отображение всех результатов до 1 мая 2020 года.
- timestamp:>=2020-05-01 - для поиска по временным периодам можно использоваться синтаксис с >, >=, < и <=.
- ip: (>=212.0.0.0 AND <213.0.0.0) - поиск в диапазоне IP.
- ip:"212.0.0.0/8" - поиск для конкретной сети.
По умолчанию дополнительные операторы являются необязательными, если есть хотя бы один запрос. Поиск по запросу foo bar baz найдет любой результат, содержащий одно или несколько из foo, bar или baz. Существуют также логические операторы, которые можно использовать в самой строке запроса для обеспечения более точной выдачи. Например, такой запрос:
apache nginx + index of -authorization
- index of — должен присутствовать обязательно.
- authorization — должен отсутствовать.
- apache nginx — опционально, наличие этих слова повысит качество выдачи.
Также поддерживаются популярные логические операторы AND, OR и NOT (также записываемые &&, || и !), но имейте в виду, что они не соблюдают обычные правила приоритета, поэтому следует использовать круглые скобки, когда несколько операторов используются вместе. Пример:
(quick AND fox) OR (brown AND fox) OR fox
Примеры общих запросов среди Services
country:russia AND port:80
asn:12812
protocol:redis
Примеры общих запросов среди Leaks
zookeeper - софт, который отвечает за синхронизацию и доступный без пароля
Стоит учесть, что Leakix является волонтерским проектом и не навязывает платный функционал. Количество результатов пока нельзя сравнивать с гигантами вроде Shodan, Zoomeye или Сensys, но в целом сервис выглядит достаточно перспективным.
Огромным плюсом, является наличие API и режим Leak, в котором достаточно быстро появляются сервера с открытыми базами, конфигов и т.д.
На этом все. Надеюсь, статья вам понравилась, и информация оказалась для вас полезной.