Тор-ноды. vxnd.net

Как-то раз держал я свою транзитную тор-ноду. Было классно по ss открывать проходящие коннекты и делать nslookup на них. Я так смотрел PRT записи интересные, т.е. не те которые host-4-3-2-1.prov.ru а mail.example.com.

Выходные ноды - очень большой процент найти что-то интересное, потому что и держат их люди заинтересованные. Вот сейчас нашел vxnd.net, а на домене оказывается еще куча серверов, целый кластер. А под конец обнаружился и файловый архив.

Началось все отсюда...

С чёрного списка bl.shy.cat. Вышел я на него, когда забил в поиск домен своей собственной транзитной ноды, а потом попробовал поискать по IP.

Корневой домен вот: shy.cat. А на bl.shy.cat владелец ведет блэклисты по разным критериям, в том числе вот тут http://bl.shy.cat/tor.csv он ведёт список выходных нод тора. Но по какой-то причине и я в него попал (а еще обнаружил там соседа по IPшнику), хотя я был лишь транзитной нодой. Через некоторое время я свою ноду погасил, а потом вспомнил старую забаву, как я открывал проходящие через меня коннекты торовские и заряжал адреса в nslookup, посмотреть соплеменников так сказать. Я так вышел на chaox.net и chaosfield.at, например. Сейчас возможности коннекты открыть нет, поэтому вспомнил про bl.shy.cat, выгрузил весь его .csv с нодами (уже где меня не было), и зарядил в nslookup. Когда есть время, продолжаю смотреть список.Помимо этого, из интересного нашел borich.spb.ru (предложил в паблик HIDDEN) и rkfg.me (будет темой для следующего поста). Могу сюда кинуть скисок PRT-записей, если есть желание покопаться.

Как нашёл: вот вывод nslookup.

Authoritative answers can be found from:

Server:     127.0.2.1

Address:    127.0.2.1#53

Non-authoritative answer:

28.80.39.5.in-addr.arpa name = rbx0.vxnd.net.

И там же ip-адрес: 103.25.58.183

Погнали разбор.

vxnd.net

"you've probably taken a wrong turn"

Главная сайта встречает нас минималистичной страничкой с текстом:

  If you're viewing this page you've probably taken a wrong turn.

  Please contact hostmaster@vxnd.net with any enquiries.

Однако судя по обилию доменных имен и связующим звеньям, vxnd.net это целый кластер серверов, разбросанных по сети. Сейчас продемонстрирую, как я это узнал.

Скан портов

  PORT    STATE   SERVICE

  22/tcp   open  ssh     OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)

  53/tcp   open  domain

  80/tcp   open  http     Apache httpd 2.4.25

  443/tcp  open  ssl/http   Apache httpd 2.4.25

  655/tcp   open  tinc     tinc vpn daemon

  4949/tcp  open  tcpwrapped

  10000/tcp open  http     MiniServ 1.872 (Webmin httpd)

https://103.25.58.183:10000/ - webmin

  20000/tcp open  http     MiniServ 1.732 (Webmin httpd)

https://103.25.58.183:20000/ - usermin

Найденные поддомены

Поддомены я ищу с помощью Sublist3r. Осмотрим их и просканим каждый, осматривая открытые сервисы. Так можно найти дополнительную информацию о владельцах и какого-нибудь лута. Поддоменов выпало много, похоже владелец человек увлечённый. Неудивительно для держателя тор-ноды.

adl0.vxnd.net

103.78.157.82

  PORT    STATE   SERVICE

  53/tcp   open    domain

  655/tcp   open    tinc

  17920/tcp open  ssh     (protocol 2.0)

  17922/tcp open  ssh     

OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)

  17980/tcp open  http

LuCI Lua http config -

http://103.78.157.82:17980/cgi-bin/luci - роутер на OpenWrt

  17981/tcp open  rtsp    

Apple AirTunes rtspd - http://103.78.157.82:17981 -

Похоже камера, требует логин/пароль

  17982/tcp open  rtsp    

Apple AirTunes rtspd - http://103.78.157.82:17982 -

Похоже камера, требует логин/пароль

  28834/tcp open  ssl/unknown

- http://103.78.157.82:28834/web/index.html - сервис PLEX

adl1.vxnd.net

119.252.20.47

  22/tcp   open  ssh       OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)

  53/tcp   open  domain

  80/tcp   open  http      nginx 1.10.3 http://adl1.vxnd.net/ - 403

  443/tcp   open ssh       OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)

  655/tcp   open  tinc? (https://www.tinc-vpn.org/)

  1194/tcp  open  openvpn?

  4242/tcp  open  vrml-multi-use?

  4949/tcp  open  tcpwrapped

  10000/tcp open  http      MiniServ 1.840 (Webmin httpd)

adl2.vxnd.net

45.118.67.18

  PORT    STATE   SERVICE

  53/tcp   open    domain

  655/tcp   open    tinc

  8123/tcp  open    polipo (https://www.irif.fr/~jch/software/polipo/)

  17920/tcp open  ssh   (protocol 2.0)

  17922/tcp open  ssh   OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)

  17980/tcp open  http  LuCI Lua http config

http://45.118.67.18:17980/cgi-bin/luci - роутер на OpenWrt

  17981/tcp open  rtsp  

Apple AirTunes rtspd http://45.118.67.18:17981/extjs.html -

Похоже камера, требует логин/пароль

  17982/tcp open  rtsp  

Apple AirTunes rtspd http://45.118.67.18:17982/extjs.html -

Похоже камера, требует логин/пароль

bhs0.vxnd.net

Имя не разрешается (не выдаётся ip, т.е.), видимо, используется как базовое имя для поддоменов.

bigbox.bhs0.vxnd.net

198.50.195.32

FTP (закрытый), HTTP (Welcome to NGINX!, но на HTTP-сервере есть другой домен, см. ниже). На 8112 веб-морда торрент-клиента Deluge (запаролен), на 32400 PLEX (это медиа-сервер), DHT.

munin.bigbox.bhs0.vxnd.net

198.50.195.32

http://munin.bigbox.bhs0.vxnd.net/munin/ - система мониторинга серверов. Туда заведены некоторые сервера домена vxnd.net, с которых действительно собираются параметры.

Также есть другой Munin, поднятый на другом домене, но с заведенным bhs0.vxnd.net, и для него все графики пусты: http://munin.cazzaserver.com/vxnd.net/index.html

middlebox.bhs0.vxnd.net

198.50.195.36

Ничего интересного не найдено, простучался только 53 порт.

multibox.bhs0.vxnd.net

198.50.195.34

SSH, HTTP (требует логин/пароль), HTTPS (Welcome to NGINX!, возможно есть поддомены)

bhs1.vxnd.net

158.69.247.184

2607:5300:120:7b8::

Открыты SSH, DNS, HTTP, RPC, HTTPS, Squid

Порты HTTP и HTTPS на самом деле предназначаются для TOR: https://metrics.torproject.org/rs.html#details/A3407CC403CF39DFA40ED9E1D14A8B54431F6104

munin.vxnd.net

104.27.182.224

104.27.183.224

Подключаться напрямую на IP по HTTP(S) не получиться, отбивает, только имя.

Такой же, как и выше, Munin: http://munin.vxnd.net/munin/ https://munin.vxnd.net/munin/

Открыты и другие порты, но выдает ошибку.

rbx0.vxnd.net

5.39.80.28

  22/tcp   open  ssh     

OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)

  53/tcp   open  domain

  80/tcp   open  http      

nginx 1.10.3 http://rbx0.vxnd.net/ - требует логин/пароль

  443/tcp   open  ssl/http    

nginx 1.10.3 https://rbx0.vxnd.net/ - аналогично предыдущему

  655/tcp   open  tinc      tinc vpn daemon 

  4949/tcp  open  tcpwrapped

  9001/tcp  open  ssl/tor-orport

Tor 0.2.4.11 or later (supported protocol versions: 3, 4)

  9030/tcp  open  http

Tor directory server

  10000/tcp open  http      

MiniServ 1.720 (Webmin httpd) http://rbx0.vxnd.net:10000/ - webmin

  49152/tcp open  unknown    

По фингерпринту предположительно, что на порту работает Kerberos

  Является тор-нодой: https://metrics.torproject.org/rs.html#details/72AD39F8AC7304342C01DD9FE26324FF304C6E88

Файловый архив

  На acrhive.org есть архив FTP rbx0.vxnd.net за февраль 2015 на 5.5 ГБ (сейчас стандартные FTP порты не прослушиваются): https://archive.org/details/2015.02.rbx0.vxnd.net

  По файлам в корне:

  robots.txt - индексация сайта на домене в это время была запрещена;

  readme.txt следующего содержания: saltspork puts some files here. So do some other people. There aren't the droids you're looking for. You can go about your business. Move along.

  Еще есть favicon.

  Далее вскроем объемные директории /_h5ai, /saltspork, /sellyme и посмотрим, что можно по их содержимому разузнать.

  В /saltspork можно найти:

  Рабочие фотографии кроссировки в стойке; Дистрибутив Plop Boot Manager, ссылки на https://www.plop.at и разработчика Elmar Hanlhofer.

  По картинке из /saltspork/pics/saltspork/saltspork.png и никнейму найдено его присутствие в сети: https://twitter.com/saltspork -> https://keybase.io/saltspork/sigs/iZS9E9nEYP53z6qxByfxKsjaW7b5Fcl8WM-O

  И отсюда выходим на личный сайт https://saltspork.com/

  104.28.5.4

  104.28.4.4

  Накиких ссылок на сайте, кроме корневой, нет. Для продвижения нужны прямые url директорий.

  По сопоставлению содержания /sellyme предполагается, что принадлежали файлы вот этой персоне: https://www.youtube.com/user/ThePonyWizard; https://steamcommunity.com/id/sellyme/; https://plus.google.com/+SellymeYTV; https://twitter.com/sellymekong.

  По содержанию resume.docx, видимо, настоящее имя Sebastian Lamerichs. Там же есть и физический адрес, моб. телефон, почта. Твиттер sellymekong ведет на https://broniesaustralia.com.au/

  Наличие в каждой папке index.html говорит о том, что это бэкап другого ftp, причем по адресу nautilus-solar.net/sellyme/ (сейчас сайт мертвый).

  По поиску находятся и другие метвые директории (никнеймы) на этом сайте: SandyGunfox, shy_stuff. Кэш google сохранен в недавнее время, январь-февраль 2018.

  /_h5ai, очевидно, дистрибутив https://larsjung.de/h5ai/.

Также по приложенному txt к архиву видно, что все файлы бекапил пользователь с никнеймом ohhdemgirls.

Присутствие в сети: https://archive.org/details/@ohhdemgirls | https://github.com/ohhdemgirls

Другие поддомены, которые определил Sublist3r, но имена не разрешаются в IP:

  chuckles.bhs0.vxnd.net

  saltspork.bhs0.vxnd.net

  rutorrent.saltspork.bhs0.vxnd.net

  tinynas.adl2.in.vxnd.net

  webmail.lax1.vxnd.net

  lax4.vxnd.net

  mail.vxnd.net

  www.mail.vxnd.net

  ns1.vxnd.net

  ns2.vxnd.net

  rutorrent.rbx0.vxnd.net

  syd1.vxnd.net

  webmail.syd1.vxnd.net

  syd2-webmail.vxnd.net

Итак, что мы получили? В основном в найденные сервисы было не проникнуть, но всё же мы нашли следы владельца тор-ноды в сети, некоторые личные файлы. Также множество сайтов на поддоменах. Так что тор-ноды это явно годная тема для изучения. И ещё у нас остался неисследованным https://saltspork.com/ , можете пройтись по нему самостоятельно.