Тор-ноды. vxnd.net
AbslimitКак-то раз держал я свою транзитную тор-ноду. Было классно по ss открывать проходящие коннекты и делать nslookup на них. Я так смотрел PRT записи интересные, т.е. не те которые host-4-3-2-1.prov.ru а mail.example.com.
Выходные ноды - очень большой процент найти что-то интересное, потому что и держат их люди заинтересованные. Вот сейчас нашел vxnd.net, а на домене оказывается еще куча серверов, целый кластер. А под конец обнаружился и файловый архив.
Началось все отсюда...
С чёрного списка bl.shy.cat. Вышел я на него, когда забил в поиск домен своей собственной транзитной ноды, а потом попробовал поискать по IP.
Корневой домен вот: shy.cat. А на bl.shy.cat владелец ведет блэклисты по разным критериям, в том числе вот тут http://bl.shy.cat/tor.csv он ведёт список выходных нод тора. Но по какой-то причине и я в него попал (а еще обнаружил там соседа по IPшнику), хотя я был лишь транзитной нодой. Через некоторое время я свою ноду погасил, а потом вспомнил старую забаву, как я открывал проходящие через меня коннекты торовские и заряжал адреса в nslookup, посмотреть соплеменников так сказать. Я так вышел на chaox.net и chaosfield.at, например. Сейчас возможности коннекты открыть нет, поэтому вспомнил про bl.shy.cat, выгрузил весь его .csv с нодами (уже где меня не было), и зарядил в nslookup. Когда есть время, продолжаю смотреть список.Помимо этого, из интересного нашел borich.spb.ru (предложил в паблик HIDDEN) и rkfg.me (будет темой для следующего поста). Могу сюда кинуть скисок PRT-записей, если есть желание покопаться.
Как нашёл: вот вывод nslookup.
Authoritative answers can be found from:
Server: 127.0.2.1
Address: 127.0.2.1#53
Non-authoritative answer:
28.80.39.5.in-addr.arpa name = rbx0.vxnd.net.
И там же ip-адрес: 103.25.58.183
Погнали разбор.
vxnd.net
"you've probably taken a wrong turn"
Главная сайта встречает нас минималистичной страничкой с текстом:
If you're viewing this page you've probably taken a wrong turn.
Please contact hostmaster@vxnd.net with any enquiries.
Однако судя по обилию доменных имен и связующим звеньям, vxnd.net это целый кластер серверов, разбросанных по сети. Сейчас продемонстрирую, как я это узнал.
Скан портов
PORT STATE SERVICE
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
53/tcp open domain
80/tcp open http Apache httpd 2.4.25
443/tcp open ssl/http Apache httpd 2.4.25
655/tcp open tinc tinc vpn daemon
4949/tcp open tcpwrapped
10000/tcp open http MiniServ 1.872 (Webmin httpd)
https://103.25.58.183:10000/ - webmin
20000/tcp open http MiniServ 1.732 (Webmin httpd)
https://103.25.58.183:20000/ - usermin
Найденные поддомены
Поддомены я ищу с помощью Sublist3r. Осмотрим их и просканим каждый, осматривая открытые сервисы. Так можно найти дополнительную информацию о владельцах и какого-нибудь лута. Поддоменов выпало много, похоже владелец человек увлечённый. Неудивительно для держателя тор-ноды.
adl0.vxnd.net
103.78.157.82
PORT STATE SERVICE
53/tcp open domain
655/tcp open tinc
17920/tcp open ssh (protocol 2.0)
17922/tcp open ssh
OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
17980/tcp open http
LuCI Lua http config -
http://103.78.157.82:17980/cgi-bin/luci - роутер на OpenWrt
17981/tcp open rtsp
Apple AirTunes rtspd - http://103.78.157.82:17981 -
Похоже камера, требует логин/пароль
17982/tcp open rtsp
Apple AirTunes rtspd - http://103.78.157.82:17982 -
Похоже камера, требует логин/пароль
28834/tcp open ssl/unknown
- http://103.78.157.82:28834/web/index.html - сервис PLEX
adl1.vxnd.net
119.252.20.47
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
53/tcp open domain
80/tcp open http nginx 1.10.3 http://adl1.vxnd.net/ - 403
443/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
655/tcp open tinc? (https://www.tinc-vpn.org/)
1194/tcp open openvpn?
4242/tcp open vrml-multi-use?
4949/tcp open tcpwrapped
10000/tcp open http MiniServ 1.840 (Webmin httpd)
adl2.vxnd.net
45.118.67.18
PORT STATE SERVICE
53/tcp open domain
655/tcp open tinc
8123/tcp open polipo (https://www.irif.fr/~jch/software/polipo/)
17920/tcp open ssh (protocol 2.0)
17922/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
17980/tcp open http LuCI Lua http config
http://45.118.67.18:17980/cgi-bin/luci - роутер на OpenWrt
17981/tcp open rtsp
Apple AirTunes rtspd http://45.118.67.18:17981/extjs.html -
Похоже камера, требует логин/пароль
17982/tcp open rtsp
Apple AirTunes rtspd http://45.118.67.18:17982/extjs.html -
Похоже камера, требует логин/пароль
bhs0.vxnd.net
Имя не разрешается (не выдаётся ip, т.е.), видимо, используется как базовое имя для поддоменов.
bigbox.bhs0.vxnd.net
198.50.195.32
FTP (закрытый), HTTP (Welcome to NGINX!, но на HTTP-сервере есть другой домен, см. ниже). На 8112 веб-морда торрент-клиента Deluge (запаролен), на 32400 PLEX (это медиа-сервер), DHT.
munin.bigbox.bhs0.vxnd.net
198.50.195.32
http://munin.bigbox.bhs0.vxnd.net/munin/ - система мониторинга серверов. Туда заведены некоторые сервера домена vxnd.net, с которых действительно собираются параметры.
Также есть другой Munin, поднятый на другом домене, но с заведенным bhs0.vxnd.net, и для него все графики пусты: http://munin.cazzaserver.com/vxnd.net/index.html
middlebox.bhs0.vxnd.net
198.50.195.36
Ничего интересного не найдено, простучался только 53 порт.
multibox.bhs0.vxnd.net
198.50.195.34
SSH, HTTP (требует логин/пароль), HTTPS (Welcome to NGINX!, возможно есть поддомены)
bhs1.vxnd.net
158.69.247.184
2607:5300:120:7b8::
Открыты SSH, DNS, HTTP, RPC, HTTPS, Squid
Порты HTTP и HTTPS на самом деле предназначаются для TOR: https://metrics.torproject.org/rs.html#details/A3407CC403CF39DFA40ED9E1D14A8B54431F6104
munin.vxnd.net
104.27.182.224
104.27.183.224
Подключаться напрямую на IP по HTTP(S) не получиться, отбивает, только имя.
Такой же, как и выше, Munin: http://munin.vxnd.net/munin/ https://munin.vxnd.net/munin/
Открыты и другие порты, но выдает ошибку.
rbx0.vxnd.net
5.39.80.28
22/tcp open ssh
OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
53/tcp open domain
80/tcp open http
nginx 1.10.3 http://rbx0.vxnd.net/ - требует логин/пароль
443/tcp open ssl/http
nginx 1.10.3 https://rbx0.vxnd.net/ - аналогично предыдущему
655/tcp open tinc tinc vpn daemon
4949/tcp open tcpwrapped
9001/tcp open ssl/tor-orport
Tor 0.2.4.11 or later (supported protocol versions: 3, 4)
9030/tcp open http
Tor directory server
10000/tcp open http
MiniServ 1.720 (Webmin httpd) http://rbx0.vxnd.net:10000/ - webmin
49152/tcp open unknown
По фингерпринту предположительно, что на порту работает Kerberos
Является тор-нодой: https://metrics.torproject.org/rs.html#details/72AD39F8AC7304342C01DD9FE26324FF304C6E88
Файловый архив
На acrhive.org есть архив FTP rbx0.vxnd.net за февраль 2015 на 5.5 ГБ (сейчас стандартные FTP порты не прослушиваются): https://archive.org/details/2015.02.rbx0.vxnd.net
По файлам в корне:
robots.txt - индексация сайта на домене в это время была запрещена;
readme.txt следующего содержания: saltspork puts some files here. So do some other people. There aren't the droids you're looking for. You can go about your business. Move along.
Еще есть favicon.
Далее вскроем объемные директории /_h5ai, /saltspork, /sellyme и посмотрим, что можно по их содержимому разузнать.
В /saltspork можно найти:
Рабочие фотографии кроссировки в стойке; Дистрибутив Plop Boot Manager, ссылки на https://www.plop.at и разработчика Elmar Hanlhofer.
По картинке из /saltspork/pics/saltspork/saltspork.png и никнейму найдено его присутствие в сети: https://twitter.com/saltspork -> https://keybase.io/saltspork/sigs/iZS9E9nEYP53z6qxByfxKsjaW7b5Fcl8WM-O
И отсюда выходим на личный сайт https://saltspork.com/
104.28.5.4
104.28.4.4
Накиких ссылок на сайте, кроме корневой, нет. Для продвижения нужны прямые url директорий.
По сопоставлению содержания /sellyme предполагается, что принадлежали файлы вот этой персоне: https://www.youtube.com/user/ThePonyWizard; https://steamcommunity.com/id/sellyme/; https://plus.google.com/+SellymeYTV; https://twitter.com/sellymekong.
По содержанию resume.docx, видимо, настоящее имя Sebastian Lamerichs. Там же есть и физический адрес, моб. телефон, почта. Твиттер sellymekong ведет на https://broniesaustralia.com.au/
Наличие в каждой папке index.html говорит о том, что это бэкап другого ftp, причем по адресу nautilus-solar.net/sellyme/ (сейчас сайт мертвый).
По поиску находятся и другие метвые директории (никнеймы) на этом сайте: SandyGunfox, shy_stuff. Кэш google сохранен в недавнее время, январь-февраль 2018.
/_h5ai, очевидно, дистрибутив https://larsjung.de/h5ai/.
Также по приложенному txt к архиву видно, что все файлы бекапил пользователь с никнеймом ohhdemgirls.
Присутствие в сети: https://archive.org/details/@ohhdemgirls | https://github.com/ohhdemgirls
Другие поддомены, которые определил Sublist3r, но имена не разрешаются в IP:
chuckles.bhs0.vxnd.net
saltspork.bhs0.vxnd.net
rutorrent.saltspork.bhs0.vxnd.net
tinynas.adl2.in.vxnd.net
webmail.lax1.vxnd.net
lax4.vxnd.net
mail.vxnd.net
www.mail.vxnd.net
ns1.vxnd.net
ns2.vxnd.net
rutorrent.rbx0.vxnd.net
syd1.vxnd.net
webmail.syd1.vxnd.net
syd2-webmail.vxnd.net
Итак, что мы получили? В основном в найденные сервисы было не проникнуть, но всё же мы нашли следы владельца тор-ноды в сети, некоторые личные файлы. Также множество сайтов на поддоменах. Так что тор-ноды это явно годная тема для изучения. И ещё у нас остался неисследованным https://saltspork.com/ , можете пройтись по нему самостоятельно.
![](/file/a865a608de67ad1a67436.png)