El bot del famoso buscador podría estar ejecutando inyecciones SQL en tu sitio y tú sin enterarte. ¿Por qué pasa esto?, es una buena pregunta, pero lo peor es que al igual que google otros como Bing, Yahoo, etc también podrían estar realizando el mismo tipo de accesos.
Se han dado casos últimamente en los que informan que google bot (y otros) están intentando ejecutar inyecciones sql a través de las urls de acceso a los sitios web. Esto es una práctica que únicamente utilizan los atacantes indeseables para o bien joderte la web, o bien sacar tus datos, pero ¿Por qué lo está haciendo google?
Eso es algo que analizaremos a continuación, pero primero vamos a ver el tipo de solicitudes que realiza el bot.
Solicitudes de acceso con inyección SQL de Google Bot
Lo que aparece en alguno de los logs que han comentado tal actividad es en principio una ip de google bot con una línea similar a la siguiente:
66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
En un primer momento da pie a pensar, debe ser un bot que se camufla con la identidad de google, pero al analizar la ip aparece la cruda realidad, es un bot de google:
$ host 66.249.66.138 138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com. NetRange: 66.249.64.0 - 66.249.95.255 CIDR: 66.249.64.0/19 OriginAS: NetName: GOOGLE
Entonces ¿Qué está pasando?
En un principio se crea la duda de por qué google estará haciendo esto, pero realmente si te paras a pensar, google no tiene absolutamente ningún interés en hackear tu sitio o crackearlo, simplemente está siendo usado para el grueso de un ataque de forma encubierta.
El funcionamiento del ataque es muy simple, Google entra en una web, y esa web tiene enlaces con la inyección apuntando hacia la tuya (la del que quiere atacarte), entonces el bot lo único que hace es seguir esos enlaces dofollow y acaba atacándote sin tener ninguna intención de hacerlo. Parece una tontería, pero es bastante sencillo desde un punto de vista estratégico, además de que como el referido sigue siendo el bot el atacante queda en el anonimato y puede atacar de forma masiva un número de webs ilimitados con un par de simples consultas.
Parece algo extremadamente peligroso y que puede afectarte, pero realmente las inyecciones SQL las puede llevar a cabo cualquiera en cualquier página web, y si no estás protegido contra este tipo de ataques que es lo más básico (cualquier plataforma cms como joomla o wordpress lo están de serie), es que tienes que revisar tu código fuente para solucionar estos problemas. Nosotros veremos como evitar inyecciones sql en php en un próximo artículo.
Así que si ahora ves en los logs una actividad extraña por parte de google bot, puede que estés intentando ser atacado por algún tercero que lo hace a través de google.
¿Te ha pasado alguna vez?
