Драг-шоп и Lenta.ru?

Сегодня мы начинаем серию мини-расследований. Обычно расследование - это большая цепочка логических взаимосвязей и рассуждений. Но в наших расследованиях это будут в основном двухходовки - простые и очевидные связи, на основе которых уже можно делать далекоидущие выводы.

Зачем все это надо? Как я уже говорил, инструментов за прошедшие полтора года мы накопили немало. На всякие случаи жизни накопили. Но вот как их применять - это уже другое дело. Это как дать новичку шпагу: он и шпагу погнет, и сам поцарапается. Поэтому я на простых примерах буду показывать, что и как работает. А дальше дело за вами - практикуйтесь!

Инструментарий. Для сегодняшнего урока труда нам потребуется инструмент, который обеспечивает поиск связей между двумя и более сайтами. Это мой любимый SpyOnWeb, OSINT.sh и AnalyzeID. С их помощью мы можем определить, связаны ли сайты в сетку, или они сами по себе. Это нужно в первую очередь для доказательства аффилированности ресурсов, например, при расследовании информационных атак.

Как это работает. Дело в том, что целый ряд инструментов веб-мастера могут использовать сразу на нескольких сайтах. Для экономии ресурсов, удобства, или же от банальной лени. Вот, например, SSL-сертификат. Он может быть на один сайт, а может быть на несколько. На несколько дешевле - его и берут. Или же, чтобы следить за юзерами, ставится на сайт Google Analytics. Но ведь удобно когда все сайты в одном кабинете, поэтому на все ресурсы вешают один и тот-же идентификатор. Аналогично и с серверами. Бывают сервера публичные, на которых висит несколько сотен, а то и тысяч сайтов. А бывают сервера частные, на котором вращается только один ресурс. Поэтому публичные сервера индикатором пересечения не являются, а вот частный IP крупной компании, на котором внезапно повис нагрузкой еще один сайт - это интересно.

Как еще ищут. По пересечениям name и mail серверов, делают обратный поиск по whois-информации и другим параметрам Но это уже экзотика. В большинстве случаев, если связь не выявилась на ранних этапах, этой связи нет. Если вы хотите досконально проверить сайт на связи по вообще всем возможным записям - используйте PulseDrive. Там каждый показатель может быть использован для обратного поиска (reverse search).

Наш пациент. Сегодня мы будем препарировать сайт lenta.ru. Сайт у них красивый, да и сами они классные. Структура владения их холдингом тоже интересная, поэтому поглядеть на них будет занимательно

ДИСКЛЕЙМЕР. Я Ленту люблю и уважаю. Все, что я рассказываю ниже вовсе не говорит о том, что они с чем-то или как-то связаны. Никаких обвинений я не выдвигаю, не приведи Господь, заявлений не делаю. Я показываю интересую информацию, которую мне удалось найти, оставляю ссылки на первоисточники. Все выводы делайте (или не делайте) сами.

Первый артефакт. Я его обнаружил с помощью инструмента SpyOnWeb. Если вы .закинем сайт lenta.ru на проверку, то на сервере 81.19.72.58 и 59 будет висеть интересный сайт gta24.org. Я обратил на это внимание, поскольку сервера у lenta.ru явно выделенные и посторонних проектов на них быть не должно. Но они есть.

Сайт на данный момент не работает. И это к лучшему. Но мы все-же можем узнать, что на нам таки было раньше. Отправляемся в путешествие с Wayback Machine. Слепки сайта есть от 2010, 2011, 2018 и 2019 годов.

В 2010 году это был сайт такой, как и следует из названия. Подняли ребята мультиплеерный сервер по GTA San Andreas (SA MP). И сайт сделали. И все шло неплохо, до поры, до времени.

Сервер, судя по всему, прожил всего два года и в 2011 году приказал долго жить. Доменное имя пустовало до 2018 года, когда на месте этого сайта появился магазин с интересными товарами. Перечислять их я не стану, но вы можете сами зайти и посмотреть. Что любопытно, они использовали символику GTA для брендирования своих объявлений. Ребята явно были творческие.

В 2019 году этот сайт почил в бозе. Туда, собственно, и дорога. Кстати, на сайте остались еще и контакты, которые можно дальше раскручивать и даже попытаться выяснить, кто за этим ресурсом стоит. Этим мы займемся в следующих расследованиях.

И это еще не все. Lenta.ru имеет пересечения еще с одним скам-проектом, о котором я вам расскажу уже во вторник. Хорошего, как говорится, понемногу. Вот такое мини-расследование у нас получилось. Если вам понравился текст - ставьте посту лайк, делитесь с друзьями - это самый главный источник подписок для канала.

Если вы еще не подписаны - сделайте это!

Всем доброй охоты!