Перейти к содержанию

OSINT. Сбор информации о владельце сайта.


CO_PY

Рекомендуемые сообщения

  • Модераторы

Это НЕ пошаговый мануал как нужно делать. Это статья – довольно базовый набросок об используемых для этой задачи приёмах. Будут рассмотрены возможности поиска по открытым источникам – те методы и инструменты, которые доступны абсолютно любому.

Если кто-то при регистрации домена в качестве имени указал "левое" имя или спрятался за CloudFlare, это не означает, что его нельзя идентифицировать. Поиск владельца сайта, который не хочет представиться, обычно заключается в поиске фрагментов информации, которая позволяет его идентифицировать по другим источникам.

К примеру, на сайте «анонима» (либо в SOA записи DNS) найден e-mail, а гугление этого адреса привело на сайт с объявлениями о поиске сотрудников. Это объявление может содержать ФИО, телефон, город, дополнительную информацию по интересующему лицу. Поиск дополнительных подтверждений, в том числе гугление по только что найденному номеру телефона, – и «дело» можно считать раскрытым (владелец сайта идентифицирован).

Совсем безалаберные анонимы быстро кончаются, поэтому остаются самые хитрые, которые не оставляют таких явных зацепок. Задача получает дополнительный этап – предпринимаются попытки найти другие сайты неизвестного лица, и уже на этих сайтах найти зацепки для идентификации личности.

Как искать сайты одного человека.

При поиске сайтов одного веб-мастера мы исходим из следующего:

  • иногда владелец нескольких сайтов размещает их все на одном сервере. Т.е. для поиска других сайтов нам нужно узнать IP сервера, где размещён сайт и найти все сайты на одном IP адресе;
  • владелец сайта часто использует уникальные идентификаторы, которые не меняются на разных сайтах. Это могут быть фрагменты кода партнёрских сетей (например, уникальный для каждой учётной записи индикатор содержится в коде вызова объявлений Google AdSense, eBay), счётчики (например, Google Analytics) и прочее;
  • веб-мастера имеют тенденцию использовать одинаковые технологии на разных серверах, иногда сайты загружают ресурсы (изображения, файлы CSS стилей, JavaScript библиотеки) с других сайтов этого же веб-мастера, либо имеют взаимные URL ссылки.

Начнём с рассмотрения используемых приёмов и инструментов, а затем изучим несколько кейсов-расследований.

 

Поиск сайтов на одном IP.

Адрес сервиса: https://suip.biz/ru/?act=hostmap

001.thumb.png.cf9ac26921ffd35a0aa80adde0aff0e8.png

Ищет сайты на одном IP, можно вводить доменное имя сайта, либо его IP адрес.

 

Поисковая система по исходному коду

Адрес сервиса: https://publicwww.com

Поиск фрагментов кода, подписей или ключевых слов в HTML, JS и CSS коде веб-страниц.

Позволяет искать:

  • Любой HTML, JavaScript, CSS и простой текст в исходном коде веб-страниц
  • Сайты с одинаковым id налитики: "UA-19778070-"
  • Сайты, использующие одинаковый аккаунт AdSense: "pub-9533414948433288"
  • Сайты под управлением WordPress использующие одинаковую тему: "/wp-content/themes/snowfall/"
  • Поиск связанных сайтов через общие уникальные HTML коды, такие как ID виджетов и издателей
  • Идентификация сайтов, использующих конкретные изображения и бейджи.

 

Синтаксис запросов на Publicwww.com

Поиск только по доменам определённых зон

При желании можно ограничить результаты поиска только конкретными доменами верхнего уровня.

Примеры:

  • site:de bootstrap
  • site:it bootstrap
  • site:edu bootstrap
  • site:legal bootstrap

Поиск по фразе

Когда вы помещаете слово или фразу в двойные кавычки, результат будет содержать только сайты с этими же словами, в том же порядке, что и фраза в кавычках. Т.е.

Пример:

  • "math.min.js"

Комбинирование фраз

Комбинирование поиска по нескольким фразам или ключевым словам.

Пример:

  • "<html lang=\"fr\">" bootstrap

Оператор НЕ

Когда вы используете знак минус перед словом или ключевой фразой, то она исключает сайты с ней из ваших результатов поиска.

Пример:

  • "amcharts.js" -bootstrap

Экранирование внутренних кавычек

Для использования двойных кавычек в поисковых запросах, их нужно экранировать обратным слешем:

Пример:

  • "<html lang=\"fr\">"

Двойной обратный слеш

Если нужно использовать в поисковой фразе обратный слеш, то экранируйте обратный слеш другим обратным слешем. Два последовательных обратных слеша будут интерпретироваться как одиночный обратный слеш.

Пример:

  • "\\x5f\\x70\\x6fp"

 

Эксплуатация неправильной настройки DNS для выявления настоящего IP сайта за Cloudflare.

Адрес сервиса: https://suip.biz/ru/?act=cloudfail

CloudFail – это инструмент тактической разведки, который направлен на сбор достаточной информации о цели, защищенной Cloudflare, в надежде обнаружить местоположение сервера. Используя Tor для маскировки всех запросов, инструмент теперь имеет 3 разных этапа атаки.

  • Сканирование неправильной настройки DNS используя DNSDumpster.com.
  • Сканирование по базе данных Crimeflare.com.
  • Сканирование брут-форсом по 2897 субдоменам.

Подробности об использовании здесь, а также в кейсах ниже.

Пример отчёта: https://suip.biz/ru/?act=report&id=84f16c83f45bcd9a42a16197ee9c2089

 

Все DNS записи домена.

Адрес сервиса: https://suip.biz/ru/?act=alldns

В DNS записях домена иногда можно найти очень интересные вещи. Возьмём, к примеру, домен spryt.ru:

002.thumb.png.eb28b570566e04cc78d1590afbfd145e.png

 

Как можно увидеть, используются DNS сервера Яндекса. У Яндекса есть интересная особенность, он записывает в SOA запись почту владельца сайта, в нашем случае там S-------.yandex.ru, т.е. домен связан с учётной записью и почтовым адресом [email protected], это даёт нам ниточку для последующего исследования и поиска по адресу электронной почты.

Кроме адресов электронной почты, интересны IP и вообще все необычные записи, которые могут дать толчок для последующих поисков.

Если домен защищён сетью CloudFlare, то вместо DNS записей вы получите сообщение:

Цитата

HINFO      "ANY obsoleted" "See draft-ietf-dnsop-refuse-any"

Также все DNS записи домена можно посмотреть прямо в командной строке Linux командой dig:

Цитата

dig +nocomments ДОМЕН any

Где ДОМЕН нужно заменить на интересующий домен, например:

Цитата

dig +nocomments skrudzh.ru any

Журнал xakep.ru тоже использует DNS Яндекса. Воспользуемся этим:

Цитата

dig +nocomments xakep.ru any

; <<>> DiG 9.13.0 <<>> +nocomments xakep.ru any

;; global options: +cmd

;xakep.ru.                     IN     ANY

xakep.ru.              21599  IN     TXT    "v=spf1 include:aspmx.googlemail.com include:spf.mandrillapp.com ~all"

xakep.ru.              21599  IN     A      178.248.232.27

xakep.ru.              21599  IN     NS     dns1.yandex.ru.

xakep.ru.              21599  IN     MX     10 emx.mail.ru.

xakep.ru.              21599  IN     SOA    dns1.yandex.net. --------.yandex.ru. 2015032702 14400 900 1209600 14400

xakep.ru.              21599  IN     NS     dns2.yandex.ru.

;; Query time: 33 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; WHEN: Thu Jun 14 19:22:42 MSK 2018

;; MSG SIZE rcvd: 262

Результат: Журнал xakep.ru имеет аккаунт в Яндексе и почту [email protected].

 

Информация whois.

Адрес сервиса: https://suip.biz/ru/?act=whois

Информация whois содержит данные об серверах имён домена (Name Server), а также может как содержать детальную информацию о владельце домена (вплоть до фамилии и имени, номера телефона и домашнего адреса до квартиры), так и не содержать чего-либо полезного (быть закрытой).

003.png.7d6d6d37b524d4b405d8ea4e9f92ac2c.png

 

Посмотреть whois домена можно прямо из командной строки Linux:

Цитата

whois -H ДОМЕН

 

Анализ HTTP заголовков ответа.

Адрес сервиса: https://suip.biz/ru/?act=headers

К примеру, с помощью CrimeFlare были найдены сайты, принадлежащие, вероятно, одному аккаунту CloudFlare:

Поскольку других зацепок не было, то последним способом подтвердить предположение, что сайты принадлежат одному лицу/находятся на одном сервере, стало сравнение заголовков ответов, каждый из которых содержал строки:

Цитата

X-AspNetMvc-Version: 5.2

X-AspNet-Version: 4.0.30319

X-Powered-By: ASP.NET

Учитывая использование на всех сайтах ASP.NET, а также точное совпадение версии 4.0.30319, а также предыдущие данные об одинаковых NS серверах CloudFlare, можно почти с полной уверенностью утверждать, что это сайты одного человека.

Посмотреть HTTP заголовки ответа можно прямо из командной строки Linux:

Цитата

 

Результаты сканирования WhatWeb.

Адрес сервиса: https://suip.biz/ru/?act=whatweb

Программа WhatWeb собирает информацию об используемых на сайте технологиях, данная информация может содержать ID аналитики и другую интересную информацию, в том числе для получения «отпечатков» сайта и сервера.

 

Анализ коротких ссылок и ссылок с редиректами.

Адрес сервиса: https://suip.biz/ru/?act=hoper

Короткие ссылки могут содержать ID реферальных программ и другие интересные данные. Ссылка до достижения конечной цели может пройти множество редиректов. Данный сервис позволяет увидеть все промежуточные пункты, а также конечный URL адрес назначения.

 

Поиск по засветившимся адресам почты, никам и другой информации.

В дополнении к publicwww, можно найти много полезного с использованием OSRFramework.

Онлайн реализация сервисов OSRFramework:

 

Поиск метаданных из файлов с сайта.

На интересующем сайте могут содержаться файлы с метаданными. Такими файлами могут быть офисные документы (метаданные могут содержать информацию об имени владельца, дату создания/редактирования файла, время правки), изображения (метаданные могут содержать информацию о модели камеры, GPS координаты, где сделана фотография).

Дополнительно по данным вопросам:

 

Анализ HTML кода.

Анализ HTML является очень важным этапом. Возможно, именно с него стоит начинать анализ. В HTML могут быть интересными:

  • комментарии. Стоит обращать внимание на содержание, язык комментариев. Комментарии могут «скрывать» ссылки на определённые разделы сайта
  • уникальные идентификаторы для последующего поиска по publicwww, например, идентификатор AdSense, который одинаковый на всех сайтах у одного владельца аккаунта (пример, ca-pub-4544128193654300), или идентификатор Google аналитики, который также одинаковый на всех сайтах одного владельца (пример, UA-28824767-1)
  • особенности исходного кода (необычные имена переменных и функций JavaScript, позволяющие искать по publicwww и прочее)

 

Анализ файла robots.txt

В файле robots.txt могут быть закрыты разделы или страницы сайта от индексирования поисковыми системами. У владельца сайта на это имеются причины и это может привести к последующему раскрытию информации.

К примеру, при анализе http://interesnoe.me/robots.txt видно, что закрыт от индексации каталог с говорящим названием /js-noindex/. Это позволило предположить, что используется Wap-Click (мошенническая модель монетизации пользователей мобильных устройств, заключается в подключении платных подписок). Поскольку веб-мастеру нужно хотя бы сделать вид, что вап-клик «это честно», то они размещают обращение для пользователя, обычно файл называется message_for_oss. Поиск по стандартному имени позволил найти файл http://interesnoe.me/message_for_oss.pdf.

В результате для последующего анализа обнаружен email: [email protected]

А в самом файле обнаружены некоторые метаданные, которые могут использоваться в качестве косвенных подтверждений:

004.png.8f9059685f3b0bc1e59523cec903439e.png

 

Перечисление пользователей WordPress.

Адрес сервиса: https://suip.biz/ru/?act=wpscan

У WordPress может быть множество пользователей. Их имена (ники) могут дать толчок для дальнейшего анализа.

005.thumb.png.711c8d67851c9ec5a0ca09b0e34eefde.png

Пользователей можно перечислить с помощью WPScan опция (--enumerate u) или используя онлайн сервис, ссылка на который дана выше.

 

Анализ виджетов.

Виджеты могут содержать уникальный ID, подходящий для дальнейшего поиска по publicwww, либо из них можно извлечь пользу другим образом. Например, при клике на автора комментария в Disqus, можно увидеть его другие комментарии, в том числе на других сайтах.

 

Анализ ссылок, указывающих на интересующий сайт

Эти ссылки могут быть размещены в SEO целях или по другим причинам. Примеры сервисов, для анализа входящих ссылок:

 

Анализ ссылок с сайта.

Если интересующий сайт ссылается на другие сайты, то этому тоже могут быть причины. Для поиска таких ссылок можно анализировать исходный код, либо внешние SEO сервисы, например:

 

Изучение истории whois и предыдущие IP сайта.

Иногда информация в whois оказывается закрыта, но раньше она могла быть открыта. Также изменение информации whois может показывать смену владельца и другую информацию. По этой причине имеет смысл изучить историю таких изменений. Видимо, большинство подобных сервисов являются платными.

Историю смены IP сайта можно посмотреть бесплатно. Для этого имеется много онлайн сервисов, которые вы можете найти через Гугл.

Примеры сервисов, имеющих свои собственные базы (или базу) данных:

Сервис, работающий на основе данных VirusTotal:

 

 

Кейс: находим настоящий IP сайта anti-malware.ru и связанные с компанией проекты.

Реальный IP сайта anti-malware.ru защищён сетью CloudFlare. Поэтому я использую CloudFail для поиска интересной информации. Я делаю запуск из командной строки:

Цитата

cloudfail -t anti-malware.ru --tor

006.thumb.png.3feba65b60330de4311d437dc7ed8569.png

Найден интересный субдомен, который не защищён CloudFlare:

Цитата

[11:19:41] [FOUND:SUBDOMAIN] test.anti-malware.ru IP: 148.251.151.141 HTTP: 401

Идём на сервис поиска сайтов на одном IP и вводим туда 148.251.151.141:

Результат:

007.png.5b1b8fef2bd2df814573fba21a8a5d92.png

Итог: практически мгновенно мы обошли защиту CloudFlare и получили пучок сайтов для дальнейшего анализа. А ведь мы даже не заглянули на сам сайт, не анализировали HTML код, не искали уникальные ID, email адреса, не собирали отпечатков серверов и прочее. Все эти методики теперь можно направить на уже полученный список сайтов и составить список всех проектов компании.

Кстати, мы могли пойти другим путём и начать с анализа истории смены IP адреса сайта:

008.png.67f8ecf58c00e146e8413d1bc0025637.png

Как можно убедиться, подтверждён ранее найденный IP, а также мы получили дополнительные адреса (в том числе более свежий IP сервера) для последующего анализа.

 

Кейс: узнаём другие сайты и имя владельца ip-calculator.ru

При беглом взгляде на сайт, видим рекламу AdSense, идём в исходный код и ищем идентификатор издателя:

009.thumb.png.535084982370e26b42556b9cc8c79540.png

Это ca-pub-4544128193654300, переходим на publicwww и ищем по нему:

0010.thumb.png.691c3c980b59058ca7b93041fa98067a.png

Переходим на сервис поиска сайтов-соседей на одном сервере/IP и ищем каждый из найденных на предыдущем этапе сайтов. Пропустив несколько результатов с shared (совместного) хостинга, получаем списки сайтов:

0011.png.59b9722ace9ba081c2acca31e4ad3315.png

00111.png.dda0abfc753c983cda5753320f09724c.png

00112.png.88b1b79f0c7f367a826e6df2dd009772.png

00113.png.c5fc0eec67e8ead51d9d26e4c8e7121a.png

00114.png.916ff0d54fb73720fc3a67c90c2616f4.png

В списке сайтов имеется личный блог владельца, позволяющий установить его личность.

×
×
  • Создать...

Важная информация

Вы принимаете наши Условия использования, Политика конфиденциальности, Правила. А также использование Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

Яндекс.Метрика