Сбор информации о владельце сайта. Поиск сайтов одного лица

Содержание

Как искать сайты одного человека

  1. Поиск сайтов на одном IP
  2. Поисковая система по исходному коду
  3. Определение настоящего IP сайта за Cloudflare. Поиск сайтов одного аккаунта, прячущихся за CloudFlare
  4. Эксплуатация неправильной настройки DNS для выявления настоящего IP сайта за Cloudflare
  5. Все DNS записи домена
  6. Информация whois
  7. Анализ HTTP заголовков ответа
  8. Результаты сканирования WhatWeb
  9. Анализ коротких ссылок и ссылок с редиректами
  10. Поиск по засветившимся адресам почты, никам и другой информации
  11. Поиск метаданных из файлов с сайта
  12. Анализ HTML кода
  13. Анализ файла robots.txt
  14. Перечисление пользователей WordPress
  15. Анализ виджетов
  16. Анализ ссылок, указывающих на интересующий сайт
  17. Анализ ссылок с сайта
  18. Изучение истории whois и предыдущие IP сайта

Что я пропустил?

Кейсы

  1. Кейс: находим настоящий IP сайта anti-malware.ru и связанные с компанией проекты
  2. Кейс: узнаём другие сайты и имя владельца ip-calculator.ru

Если кто-то при регистрации домена в качестве имени указал «Вася Пупкин» или спрятался за CloudFlare, это не означает, что его нельзя идентифицировать. Поиск владельца сайта, который не хочет представиться, обычно заключается в поиске фрагментов информации, которая позволяет его идентифицировать по другим источникам.

К примеру, на сайте «анонима» (либо в SOA записи DNS) найден e-mail, а гугление этого адреса привело на сайт с объявлениями о поиске сотрудников. Это объявление может содержать ФИО, телефон, город, дополнительную информацию по интересующему лицу. Поиск дополнительных подтверждений, в том числе гугление по только что найденному номеру телефона, – и «дело» можно считать раскрытым (владелец сайта идентифицирован).

Совсем безалаберные анонимы быстро кончаются, поэтому остаются самые хитрые, которые не оставляют таких явных зацепок. Задача получает дополнительный этап – предпринимаются попытки найти другие сайты неизвестного лица, и уже на этих сайтах найти зацепки для идентификации личности.

Это НЕ пошаговый мануал как нужно делать. Это статья – довольно базовый набросок об используемых для этой задачи приёмах. Будут рассмотрены возможности поиска по открытым источникам – те методы и инструменты, которые доступны абсолютно любому.

Как искать сайты одного человека

При поиске сайтов одного веб-мастера мы исходим из следующего:

  • иногда владелец нескольких сайтов размещает их все на одном сервере. Т.е. для поиска других сайтов нам нужно узнать IP сервера, где размещён сайт и найти все сайты на одном IP адресе;
  • владелец сайта часто использует уникальные идентификаторы, которые не меняются на разных сайтах. Это могут быть фрагменты кода партнёрских сетей (например, уникальный для каждой учётной записи индикатор содержится в коде вызова объявлений Google AdSense, eBay), счётчики (например, Google Analytics) и прочее;
  • веб-мастера имеют тенденцию использовать одинаковые технологии на разных серверах, иногда сайты загружают ресурсы (изображения, файлы CSS стилей, JavaScript библиотеки) с других сайтов этого же веб-мастера, либо имеют взаимные URL ссылки.

Начнём с рассмотрения используемых приёмов и инструментов, а затем изучим несколько кейсов-расследований.

Поиск сайтов на одном IP

Адрес сервиса: https://suip.biz/ru/?act=hostmap

Ищет сайты на одном IP, можно вводить доменное имя сайта, либо его IP адрес.

Поисковая система по исходному коду

Адрес сервиса: https://publicwww.com

Поиск фрагментов кода, подписей или ключевых слов в HTML, JS и CSS коде веб-страниц.

Позволяет искать:

  • Любой HTML, JavaScript, CSS и простой текст в исходном коде веб-страниц
  • Сайты с одинаковым id налитики: "UA-19778070-"
  • Сайты, использующие одинаковый аккаунт AdSense: "pub-9533414948433288"
  • Сайты под управлением WordPress использующие одинаковую тему: "/wp-content/themes/snowfall/"
  • Поиск связанных сайтов через общие уникальные HTML коды, такие как ID виджетов и издателей
  • Идентификация сайтов, использующих конкретные изображения и бейджи

Синтаксис запросов на publicwww

Поиск только по доменам определённых зон

При желании можно ограничить результаты поиска только конкретными доменами верхнего уровня.

Примеры:

  • site:de bootstrap
  • site:it bootstrap
  • site:edu bootstrap
  • site:legal bootstrap

Поиск по фразе

Когда вы помещаете слово или фразу в двойные кавычки, результат будет содержать только сайты с этими же словами, в том же порядке, что и фраза в кавычках. Т.е.

Пример:

  • "math.min.js"

Комбинирование фраз

Комбинирование поиска по нескольким фразам или ключевым словам.

Пример:

  • "<html lang=\"fr\">" bootstrap

Оператор НЕ

Когда вы используете знак минус перед словом или ключевой фразой, то она исключает сайты с ней из ваших результатов поиска.

Пример:

  • "amcharts.js" -bootstrap

Экранирование внутренних кавычек

Для использования двойных кавычек в поисковых запросах, их нужно экранировать обратным слешем:

Пример:

  • "<html lang=\"fr\">"

Двойной обратный слеш

Если нужно использовать в поисковой фразе обратный слеш, то экранируйте обратный слеш другим обратным слешем. Два последовательных обратных слеша будут интерпретироваться как одиночный обратный слеш.

Пример:

  • "\\x5f\\x70\\x6fp"

Определение настоящего IP сайта за Cloudflare. Поиск сайтов одного аккаунта, прячущихся за CloudFlare

Адрес сервиса: http://www.crimeflare.us:82/cfs.html#box

Сайт CrimeFlare собрал базу данных сайтов за Cloudflare и их настоящие IP. Вы можете выполнить поиск по базе данных прямо на сайте: http://www.crimeflare.us:82/cfs.html#box

Если сайт найден, то для него будет выведена информация об IP и стране расположения:

Базы данных, по которым выполняется поиск, доступны для скачивания: http://www.crimeflare.us:82/zippy.html

Эти базы данных обновляются примерно каждые 3 недели. Всего имеется четыре базы данных:

  • ipout.zip – IP адреса сайтов за Cloudflare (для которых они известны)
  • nsout.zip – NS сервера сайтов
  • country.zip — IP адреса сайтов за Cloudflare (для которых они известны) вместе с названием стран
  • sslinfo.zip – информация об SSL сертификатов для сайтов за Cloudflare

При регистрации нового аккаунта CloudFlare, вы можете с лёгкостью позже добавить домены в этот аккаунт. Но для получения других nameservers (серверов имён) вам нужно зарегистрировать другой аккаунт. Требуется другой адрес email. В общем, сайты в одном аккаунте CloudFlare имеют одинаковые сервера имён, а это означает, что, перечислив все сайты с одинаковыми парами nameservers, мы можем найти сайты одного владельца.

Именно это делает сервис CrimeFlare, если в его базе данных отсутствует информацию о настоящем IP сайта. Для поиска интересующего сайта перейдите в форму поиска и введите домен, прячущийся за CloudFlare: http://www.crimeflare.us:82/cfs.html#box

Если IP не найден, то результаты поиска будут примерно такими:

Нам показаны DNS сервера интересующего нас домена:

  • angela.ns.cloudflare.com
  • chip.ns.cloudflare.com

А также есть ссылка для поиска сайтов, которые используют эти же самые доменные имена:

Пример поиска:

Ещё раз: в этом списке как сайты одного аккаунта CloudFlare, так и сайты других аккаунтов CloudFlare. Чтобы извлечь пользу из этого списка, нужно продолжить исследование. Например, можно сократить поиск, отобрав только русскоязычные домены.

Другие способы в статье Как узнать настоящий IP сайта в Cloudflare.

Эксплуатация неправильной настройки DNS для выявления настоящего IP сайта за Cloudflare

Адрес сервиса: https://suip.biz/ru/?act=cloudfail

CloudFail – это инструмент тактической разведки, который направлен на сбор достаточной информации о цели, защищенной Cloudflare, в надежде обнаружить местоположение сервера. Используя Tor для маскировки всех запросов, инструмент теперь имеет 3 разных этапа атаки.

  • Сканирование неправильной настройки DNS используя DNSDumpster.com.
  • Сканирование по базе данных Crimeflare.com.
  • Сканирование брут-форсом по 2897 субдоменам.

Подробности об использовании здесь, а также в кейсах ниже.

Пример отчёта: https://suip.biz/ru/?act=report&id=84f16c83f45bcd9a42a16197ee9c2089

Все DNS записи домена

Адрес сервиса: https://suip.biz/ru/?act=alldns

В DNS записях домена иногда можно найти очень интересные вещи. Возьмём, к примеру, домен spryt.ru:

Как можно увидеть, используются DNS сервера Яндекса. У Яндекса есть интересная особенность, он записывает в SOA запись почту владельца сайта, в нашем случае там Spryt666.yandex.ru, т.е. домен связан с учётной записью и почтовым адресом Spryt666@yandex.ru, это даёт нам ниточку для последующего исследования и поиска по адресу электронной почты.

Кроме адресов электронной почты, интересны IP и вообще все необычные записи, которые могут дать толчок для последующих поисков.

Если домен защищён сетью CloudFlare, то вместо DNS записей вы получите сообщение:

HINFO       "ANY obsoleted" "See draft-ietf-dnsop-refuse-any"

Также все DNS записи домена можно посмотреть прямо в командной строке Linux:

dig +nocomments ДОМЕН any

Где ДОМЕН нужно заменить на интересующий домен, например:

dig +nocomments skrudzh.ru any

Журнал xakep.ru тоже использует DNS Яндекса. Воспользуемся этим:

dig +nocomments xakep.ru any
; <<>> DiG 9.13.0 <<>> +nocomments xakep.ru any
;; global options: +cmd
;xakep.ru. IN ANY
xakep.ru. 21599 IN TXT "v=spf1 include:aspmx.googlemail.com include:spf.mandrillapp.com ~all"
xakep.ru. 21599 IN A 178.248.232.27
xakep.ru. 21599 IN NS dns1.yandex.ru.
xakep.ru. 21599 IN MX 10 emx.mail.ru.
xakep.ru. 21599 IN SOA dns1.yandex.net. xa.mag.yandex.ru. 2015032702 14400 900 1209600 14400
xakep.ru. 21599 IN NS dns2.yandex.ru.
;; Query time: 33 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jun 14 19:22:42 MSK 2018
;; MSG SIZE rcvd: 262

Результат: Журнал xakep.ru имеет аккаунт в Яндексе и почту xa.mag@yandex.ru.

Информация whois

Адрес сервиса: https://suip.biz/ru/?act=whois

Информация whois содержит данные об серверах имён домена (Name Server), а также может как содержать детальную информацию о владельце домена (вплоть до фамилии и имени, номера телефона и домашнего адреса до квартиры), так и не содержать чего-либо полезного (быть закрытой).

Посмотреть whois домена можно прямо из командной строки Linux:

whois -H ДОМЕН

Анализ HTTP заголовков ответа

Адрес сервиса: https://suip.biz/ru/?act=headers

К примеру, с помощью CrimeFlare были найдены сайты, принадлежащие, вероятно, одному аккаунту CloudFlare:

  • http://interesnoe.me
  • http://wikiportal.org
  • http://t-catalog.ru

Поскольку других зацепок не было, то последним способом подтвердить предположение, что сайты принадлежат одному лицу/находятся на одном сервере, стало сравнение заголовков ответов, каждый из которых содержал строки:

X-AspNetMvc-Version: 5.2
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET

Учитывая использование на всех сайтах ASP.NET, а также точное совпадение версии 4.0.30319, а также предыдущие данные об одинаковых NS серверах CloudFlare, можно почти с полной уверенностью утверждать, что это сайты одного человека.

Посмотреть HTTP заголовки ответа можно прямо из командной строки Linux:

curl -I http://interesnoe.me

Результаты сканирования WhatWeb

Адрес сервиса: https://suip.biz/ru/?act=whatweb

Программа WhatWeb собирает информацию об используемых на сайте технологиях, данная информация может содержать ID аналитики и другую интересную информацию, в том числе для получения «отпечатков» сайта и сервера.

Анализ коротких ссылок и ссылок с редиректами

Адрес сервиса: https://suip.biz/ru/?act=hoper

Короткие ссылки могут содержать ID реферальных программ и другие интересные данные. Ссылка до достижения конечной цели может пройти множество редиректов. Данный сервис позволяет увидеть все промежуточные пункты, а также конечный URL адрес назначения.

Поиск по засветившимся адресам почты, никам и другой информации

В дополнении к publicwww, можно найти много полезного с использованием OSRFramework.

Инструкция по работе с программой «Исследование на основе открытых источников с OSRFramework (поиск по почте, нику, домену)».

Онлайн реализация сервисов OSRFramework:

Поиск метаданных из файлов с сайта

На интересующем сайте могут содержаться файлы с метаданными. Такими файлами могут быть офисные документы (метаданные могут содержать информацию об имени владельца, дату создания/редактирования файла, время правки), изображения (метаданные могут содержать информацию о модели камеры, GPS координаты, где сделана фотография).

Дополнительно по данным вопросам:

Анализ HTML кода

Анализ HTML является очень важным этапом. Возможно, именно с него стоит начинать анализ. В HTML могут быть интересными:

  • комментарии. Стоит обращать внимание на содержание, язык комментариев. Комментарии могут «скрывать» ссылки на определённые разделы сайта
  • уникальные идентификаторы для последующего поиска по publicwww, например, идентификатор AdSense, который одинаковый на всех сайтах у одного владельца аккаунта (пример, ca-pub-4544128193654300), или идентификатор Google аналитики, который также одинаковый на всех сайтах одного владельца (пример, UA-28824767-1)
  • особенности исходного кода (необычные имена переменных и функций JavaScript, позволяющие искать по publicwww и прочее)

Анализ файла robots.txt

В файле robots.txt могут быть закрыты разделы или страницы сайта от индексирования поисковыми системами. У владельца сайта на это имеются причины и это может привести к последующему раскрытию информации.

К примеру, при анализе http://interesnoe.me/robots.txt видно, что закрыт от индексации каталог с говорящим названием /js-noindex/. Это позволило предположить, что используется Wap-Click (мошенническая модель монетизации пользователей мобильных устройств, заключается в подключении платных подписок). Поскольку веб-мастеру нужно хотя бы сделать вид, что вап-клик «это честно», то они размещают обращение для пользователя, обычно файл называется message_for_oss. Поиск по стандартному имени позволил найти файл http://interesnoe.me/message_for_oss.pdf.

В результате для последующего анализа обнаружен email: www3master@mail.ru

А в самом файле обнаружены некоторые метаданные, которые могут использоваться в качестве косвенных подтверждений:

Перечисление пользователей WordPress

Адрес сервиса: https://suip.biz/ru/?act=wpscan

У WordPress может быть множество пользователей. Их имена (ники) могут дать толчок для дальнейшего анализа.

Пользователей можно перечислить с помощью WPScan опция (--enumerate u) или используя онлайн сервис, ссылка на который дана выше.

Анализ виджетов

Виджеты могут содержать уникальный ID, подходящий для дальнейшего поиска по publicwww, либо из них можно извлечь пользу другим образом. Например, при клике на автора комментария в Disqus, можно увидеть его другие комментарии, в том числе на других сайтах.

Анализ ссылок, указывающих на интересующий сайт

Эти ссылки могут быть размещены в SEO целях или по другим причинам. Примеры сервисов, для анализа входящих ссылок:

Анализ ссылок с сайта

Если интересующий сайт ссылается на другие сайты, то этому тоже могут быть причины. Для поиска таких ссылок можно анализировать исходный код, либо внешние SEO сервисы, например:

Изучение истории whois и предыдущие IP сайта

Иногда информация в whois оказывается закрыта, но раньше она могла быть открыта. Также изменение информации whois может показывать смену владельца и другую информацию. По этой причине имеет смысл изучить историю таких изменений. Видимо, большинство подобных сервисов являются платными.

Историю смены IP сайта можно посмотреть бесплатно. Для этого имеется много онлайн сервисов, которые вы можете найти через Гугл.

Примеры сервисов, имеющих свои собственные базы (или базу) данных:

Сервис, работающий на основе данных VirusTotal:

Что я пропустил?

Наверняка я пропустил много общих и специальных методик поиска и сопоставления информации – пишите их в комментариях, дополним мануал вместе.

Также для установления владельца веб-сайта могут применяться пентестинг, социальная инженерия и «суперсила» правоохранительных органов делать запросы поставщикам услуг Интернета – это отдельные большие темы, и я намеренно их не затронул.

КЕЙСЫ

Кейс: находим настоящий IP сайта anti-malware.ru и связанные с компанией проекты

Реальный IP сайта anti-malware.ru защищён сетью CloudFlare. Поэтому я использую CloudFail для поиска интересной информации. Я делаю запуск из командной строки:

cloudfail -t anti-malware.ru --tor

Результаты:

Найден интересный субдомен, который не защищён CloudFlare

[11:19:41] [FOUND:SUBDOMAIN] test.anti-malware.ru IP: 148.251.151.141 HTTP: 401

Идём на сервис поиска сайтов на одном IP и вводим туда 148.251.151.141:

Результат:

Итог: практически мгновенно мы обошли защиту CloudFlare и получили пучок сайтов для дальнейшего анализа. А ведь мы даже не заглянули на сам сайт, не анализировали HTML код, не искали уникальные ID, email адреса, не собирали отпечатков серверов и прочее. Все эти методики теперь можно направить на уже полученный список сайтов и составить список всех проектов компании.

Кстати, мы могли пойти другим путём и начать с анализа истории смены IP адреса сайта:

Как можно убедиться, подтверждён ранее найденный IP, а также мы получили дополнительные адреса (в том числе более свежий IP сервера) для последующего анализа.

Кейс: узнаём другие сайты и имя владельца ip-calculator.ru

При беглом взгляде на сайт, видим рекламу AdSense, идём в исходный код и ищем идентификатор издателя:

Это ca-pub-4544128193654300, переходим на publicwww и ищем по нему:

Переходим на сервис поиска сайтов-соседей на одном сервере/IP и ищем каждый из найденных на предыдущем этапе сайтов. Пропустив несколько результатов с shared (совместного) хостинга, получаем списки сайтов:

В списке сайтов имеется личный блог владельца, позволяющий установить его личность.

Рекомендуется Вам:

Добавить комментарий

Ваш e-mail не будет опубликован.