Gezielt suchen mit Shodan: Praxisbeispiele und Filter

von

Stefan
in

Im ersten Teil dieser Serie haben wir die Grundlagen von Shodan behandelt und seine Bedeutung für die Cybersecurity aufgezeigt. In diesem Beitrag gehen wir einen Schritt weiter und demonstrieren, wie sich gezielte Suchanfragen formulieren lassen, um relevante Informationen aus der Shodan-Datenbank zu erhalten.

Suchsyntax in Shodan

Shodan bietet eine einfache Suchleiste, unterstützt aber auch leistungsfähige Suchoperatoren. Damit können Abfragen präzise gefiltert werden.

Beispiele für Operatoren:

OperatorBeschreibungBeispiel
port:Filtert nach Portnummerport:22 (nur SSH-Dienste)
country:Filtert nach Ländercodecountry:DE (Deutschland)
city:Filtert nach Stadtcity:Berlin
org:Filtert nach Organisationorg:Telekom
product:Nach Produkt- oder Software-Namen suchenproduct:Apache
before: / after:Zeitbasierte Filter für Scansbefore:2024-01-01

Praxisbeispiele für Suchanfragen

Offene RDP-Server finden

Remote Desktop Protocol (RDP) ist ein beliebtes Angriffsziel.

port:3389 country:DE

Cybersecurity-Bezug:
So können Administratoren prüfen, ob eigene RDP-Server ungesichert im Internet erreichbar sind.

Ungeschützte Webcams aufspüren

Viele IP-Kameras werden ohne Passwortschutz betrieben.

port:554 has_screenshot:true

Praxisbezug:
Zeigt Kameras mit aktivem RTSP-Stream (häufig ohne Authentifizierung).

IoT-Geräte und Industrieanlagen

Industriesteuerungen (ICS/SCADA) sind oft schlecht gesichert.

product:Siemens port:102

Cybersecurity-Bezug:
Zeigt Siemens-S7-Steuerungen, die ungesichert im Internet erreichbar sind.

Datenbanken identifizieren

Ungesicherte Datenbanken sind ein häufiges Problem.

port:27017 product:MongoDB

Beispiel:
Findet offene MongoDB-Datenbanken, die ohne Authentifizierung erreichbar sind.

Erweiterte Filterkombinationen

Mehrere Filter können kombiniert werden:

product:Apache port:80 country:DE

→ Sucht Apache-Webserver auf Port 80 in Deutschland.

Interpretation der Ergebnisse

Die Ergebnisse enthalten oft:

  • IP-Adresse
  • Port und Dienstinformationen
  • Banner-Daten (z. B. Softwareversion)
  • Geodaten (Land, Stadt, Organisation)

Diese Informationen können mit weiteren Sicherheitstools korreliert werden, um Risiken zu bewerten.

Sicherheitsrelevante Aspekte

  • Offene Dienste sollten sofort überprüft und ggf. gesichert werden.
  • Shodan Monitor kann eingesetzt werden, um eigene Netzwerke kontinuierlich zu überwachen.
  • Unternehmen sollten regelmäßig prüfen, welche Systeme im Internet sichtbar sind.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert