"Кто стучится в дверь ко мне?" или знакомимся с теми, кто стучится на веб-сервер

"Кто стучится в дверь ко мне?" или знакомимся с теми, кто стучится на веб-сервер

abslimit

Решил собрать из акцесс-лога веб-сервера все уникальные IP, чтобы посмотреть, кто ко мне стучался. Пропустил все IP последовательно через nslookup+nmap в таком виде:

nslookup -type=any [IP-адрес] 77.88.8.88
nmap -T3 -p[-],http* -Pn --open --script http-title,http-auth,http-ls,http-robots.txt,http-webdav-scan,ftp-anon [IP-адрес]

В основном там были провайдерские "стандартные" PRT-записи или вовсе без PTR, было несколько выходных тор-нод, попадались поисковики, internet-census и shodan. Но, при этом, обнаружилось несколько интересных сайтов и доменов, а так же сервисы на серверах без доменного имени.

103.1.209.177

Адрес не имеет PRT-записи или доменов на нем. Есть FTP с анонимным входом. В папке есть файл vuln.txt, в котором похоже "наскан" открытых phpmyadmin. Случайное открытие линков из списка не дало результатов, так что список, похоже, не первой свежести. Требует проверки.

www.probethenet.com

Our Probes are designed to report on the usage patterns of various services on the Internet. Sometimes this involves identifying the hardware, the location, the operators, the behaviours and sometimes even the software that make up the 4,294,967,296 possible addresses. Most of the time these are for our own internal research projects, sometimes it is for threat analysis and security related information, and occasionally we perform custom probes, but typically only to gain meta data, rather than specific information about any one IP Address.

Если бегло - похоже проект собирает различные метаданные и производит стат-анализ данных, для определения по ним косвенных параметров хостов.

demu.red

A place of geekery

Блог какого-то гика. Вроде ничего особенного, но есть гофер-версия!

gopher://demu.red/

gopher://demu.red/

nmap показывает, что на портах 10001 и 20001 есть SSL, но в сервисах сомневается:

10001/tcp open ssl/scp-config?

20001/tcp open ssl/microsan?

Посмотрим сертификаты:

openssl s_client -showcerts -connect 104.200.29.37:10001

... CN = demu.red ...

openssl s_client -showcerts -connect 104.200.29.37:20001

... CN = irc.demu.red ...

Первый выписан на основной домен, второй на irc.demu.red, значит, судя по названию, на порту 20001 есть IRC over SSL. Проверяем:

ircs://irc.demu.red:20001

Так и есть, но никого в основном канале нет.

P.S. На момент второй проверки веб-сайт стал недоступен - редирект c http на https, потом сброс соединения.

granitesearches.com

We're sorry, but something went wrong. If you are the application owner check the logs for more information.

И так по всем ссылкам, которые нашел гугол. Но можно смотреть кэш сайта

https://webcache.googleusercontent.com/search?q=cache:mOOhZVqVFN0J:granitesearches.com/contact+&cd=1&hl=ru&ct=clnk&gl=ru

https://webcache.googleusercontent.com/search?q=cache:DmLQEBvBmn0J:granitesearches.com/t/categories/quartz+&cd=3&hl=ru&ct=clnk&gl=ru

https://webcache.googleusercontent.com/search?q=cache:SgP7SGHxjuUJ:granitesearches.com/t/categories/granite+&cd=4&hl=ru&ct=clnk&gl=ru

Если чутка поискать, то видимо это просто магазин покрытий для кухни и т.п., просто на мертвом домене

stretchoid.com

Стучались с zg-0309a-143.stretchoid.com. и zg-0309a-45.stretchoid.com.

Stetchoid is a platform that helps identify an organization's online services.

Очень бедная на оформление страница. Видимо, занимаются сканированием. Можно заполнить форму обратной связи, если желаете, чтобы эти парни к Вам больше не стучались.

http://stretchoid.com/

sublist3r выдает имена остальных сканеров.

skypecdns.com

PRT-запись у адреса 107.170.226.201 отсутствует. Открыты порты 80 и 443, которые выдают пустые странички. Сертификат SSL выписан на skypecdns.com. Но домен можно найти и тут: http://viewdns.info/reverseip/?host=107.170.226.201&t=1. По поисковикам по запросу "skypecdns" ничего не нашлось.

dialer-api.jade.dox.pub.

Тут все более таинственно, хотя бы из-за того, что корневой домен dox.pub не резолвится вовсе.

https://dialer-api.jade.dox.pub./ - требует логин/пароль

sublist3r вываливает просто монструозный список поддоменов dox.pub. Многие требуют сразу авторизации, некоторые (напр. redash.dox.pub) в лоб предлагают залониниться под гугол-аккаунтом (я не рискнул).

Отсюда, кстати, прослеживается явная связь с сайтом doximity.com:

Информация о разработчике

Эл. почта: bmanns@doximity.com

Выбрав аккаунт, вы перейдете на страницу "https://redash.dox.pub"

В общем, тут есть поле для изучения, но скорее всего все это технические домены doximity.com

nugura.cs.usyd.edu.au

Dear colleague, you probably found this website because you saw activity on your network. Our team at the University of Sydney, Australia is doing an analysis of the current state of Internet security and deployment. 

Товарищи из Австралии сканят в научных целях. Вот и сам университет https://sydney.edu.au/

scan-XX.security.ipip.net

Стучались следующие хосты:

scan-70.security.ipip.net. | scan-71.security.ipip.net. | scan-72.security.ipip.net. | scan-92.security.ipip.net.

https://www.ipip.net/ - китайцы сканят. Переводчик выдал такое - "Глобальная единственная На основе БГП/АСН анализа данных и IP-библиотека"

Причем китайцы сканят из Японии, и репутация у них не очень:

https://talosintelligence.com/reputation_center/lookup?search=139.162.108.53

https://talosintelligence.com/reputation_center/lookup?search=139.162.114.70

https://talosintelligence.com/reputation_center/lookup?search=139.162.119.197

git.sharep0int.com.

Hello! Your server was scanned as part of internet-wide research activities If you wish to have your IP placed on a blacklist in order to not receive further scans, please contact us at abuse@git.sharep0int.com - thank you!

Еще один исследователь-сканер.

На главном домене забавная анимация: http://sharep0int.com/. Забавно, но в блек-лист я его закинул.

http://sharep0int.com/

eecs.umich.edu

Обращения были с целой батареи серверов:

researchscan367.eecs.umich.edu. | researchscan383.eecs.umich.edu. | researchscan399.eecs.umich.edu. | researchscan303.eecs.umich.edu. |researchscan319.eecs.umich.edu. | researchscan336.eecs.umich.edu. | researchscan351.eecs.umich.edu.

https://eecs.umich.edu/ - еще один университет, на этот раз Мичиганский. Cканит в исследовательских целях, но с куда большим размахом, чем сиднейский.

project25499.com

Обращались с scanner03.project25499.com.

If you have reached this page, it is likely because you have observed scans originating from one of this project’s scanners on your network. Please be aware, this activity is in no way being conducted with malicious intent or targeting your organization. 

Судя по всему, еще одни исследователи ИБ.

http://project25499.com/

nextotor.com. - 155.94.88.138

IP-загадка. В shodan инфы нет, censys ничего не просутчал, тор-нодой не является, но имеет явную PTR-запись nextotor.com. Nmap ничего не простучал.

159.203.103.151

Закачка с git "Yii 2 Advanced Project Template".

thegleamlantern.com.

Wordpress пустышка, заполненная "hello world!".

http://thegleamlantern.com./

vault.veyepers.com.

shodan говорит, что открыт только 22 порт.

Посмотрите, что возвращает nslookup на корневой домен.

Non-authoritative answer:
Name: veyepers.com
Address: 127.0.0.1

Видимо, ребята скрываются. Так иногда делают, чтобы временно усложнить атаку на сайт, но тут вряд ли этот случай.

otavio.guru

Адрес 159.65.253.203 не имеет PRT-записи. Но можно посмотреть домены тут:

otavioribeiro.com.br - редирект на http://otavio.guru/. Тут есть маленькая игра "The game of my life", где на машинке нужно прокатится по линии жизни разработчика Otávio Ribeiro. Есть еще сайт, посвященный астрологии https://astros.io/.

http://otavio.guru/

wn639.grid.nchc.org.tw.

http://grid.nchc.org.tw./ - Taiwan CMS Federation

Первое, что бросается в глаза, это мониторинг - http://grid.nchc.org.tw./ganglia/?c=TW-NCHC

Видимо, тут еще есть открытые порты и директории. Для этого нужно поисследовать.

maquina.krusherpt.com.

http://krusherpt.com/ - маленькая страница на португальском. Машинный перевод - "Ну я вернулся, чтобы сделать мой сайт сейчас на этот раз это серьезно."

tor-relay-002.parckwart.de.

Еще тор-нода и еще один homepage: https://www.parckwart.de/ - "This is Parckwart’s website.

Предлагает покопаться в его файлах - "There are some random files here. Mostly garbage. People exist, who find some of it amusing. Should not be taken too seriously", и даже загрузить свой файл! Выложены рисунки, которые по стилистике рисовал как будто ребенок, а так же картинки, скриншоты.

https://www.parckwart.de/files/Juno.png

Прикольная страница по https://www.parckwart.de/files/nuclear_waste/. Ожидается, что это директория, но тут выводится "Nuclear Waste Danger: Radioactive!", на которую, кстати, запрещена индексация. Имеетcя и тор-версия сайта (ссылки на главной).

hibiki.inversepath.com

Адрес 178.73.215.171 без PRT-записи, viewdns.info тоже ничего не нашел. Но это еще одни сканеры-исследователи, что видно на сайте:

This server implements a massive Internet scanning research project developed
by [Inverse Path](https://inversepath.com).

The project periodically scans all public IPv4 addresses for specific services
in form of open TCP/IP ports.


Вот и сам сайт компании https://inversepath.com/.

Если глянуть недействительный SSL-сертификат на 443 порту, то тут уже выясниться, что доменное имя сервера hibiki.inversepath.com.

stitu.shapefeeds.com.

PTR-запись stitu.shapefeeds.com. и корневой домен shapefeeds.com выдают стандартную заглушку Апача, о вот попытка постучаться по IP 185.100.87.206 выдает нам веб-страничку:

Отсюда можно попасть на основной сайт enn.lu

prawksi.relay.coldhak.com.

Снова тор. Но отсюда можно перейти сюда - https://coldhak.ca/relays/. Встречает нас список всех нод этих держателей. https://coldhak.ca/ редиректит на https://coldhak.ca/relays/. Теперь про самих держателей - https://coldhak.ca/about/ - Coldhak is a nonprofit dedicated to furthering privacy, security, and freedom of speech. You can find Coldhak directors on IRC at ircs://irc.oftc.net:6697 #coldhak. Тут же и визитки всех членов команды. https://coldhak.ca/blog/ - в блоге одна запись

196.44.131.182

JSE Scanner

Trawling the JSE as we speak :)

Также расположен небольшой игровой сайт http://dhgaming.co.za/. Есть еще XMPP сервер, но зарегистрировать аккаунт на нем не удалось.

crawl-i7jgxj.mj12bot.com.

Welcome to a Majestic-12 Crawler!

This server is part of the Majestic-12 community search engine. Majestic-12 is working towards creation of a World Wide Web search engine based on concepts of distributing workload in a similar fashion achieved by successful projects such as SETI@home and distributed.net.

Отсюда уходим на www.majestic12.co.uk и в итоге поиск по строке справа-вверху выводит на поисковик majestic.com, платный и заточенный под SEO.

В конкретная связь между www.majestic12.co.uk и majestic.com мне непонятна, так как похоже, что первый предлагает присоединиться к проекту и запустить ноду поисковика у себя, второй проект коммерческий.

208.100.26.231

Internet Research Project

Let us apologize for any inconvenience our scans may have caused you.  

Еще одни сканеры. "Именной" PTR-записи не имеет. На сайте указан основной домен internet-research-project.com, который не разрешается в IP-адрес. Нашлась старая статья, где обсуждается похожий сканер, по которому непонятно, насколько он легитимен и вообще кому отправляются данные в форме обратной связи. В комментариях жалуются на рассматриваемый нами случай: https://isc.sans.edu/forums/diary/Internet+scanning+project+scans/18447




В остальном ничего интересного не нашлось. Как видно, из интересного попадались в основном сканеры, традиционно на выходных тор-нодах энтузиасты размещают свои странички. Из неперечисленного попадались сайты компаний, много "Welcome to NGINX" и прочие "It works!", было пара открытых FTP с закинутыми туда майнерами, роутеры, МСЭ, и файлопомойки с авторизацией. У одной компании был закрытый IRC-сервер, вход по предварительно зарегистрированным учеткам.