4 онлайн-сервиса для поиска архивной информации о WHOIS домена


Оглавление (нажмите, чтобы открыть):

Сетевые утилиты

Whois — информация о домене

Whois сервис предназначен для получения данных по именам доменов в сети Internet. Вы можете узнать много полезной информации, например адреса и телефоны администрации, название организации или имя лица которым принадлежит данное доменное имя.

Для большинства ниже приведенных зон поддерживается проверка доменов второго уровня (например name.net.ru, name.com.ua. и т.д.).

Выдается информация о доменных именах в следующих зонах (кликните на имени интересующего Вас домена для получения информации о нем):

Следующие доменный зоны не поддерживаются нашим сервисом про причине отсутствия у них открытых или функционирующих whois серверов (кликните на имени интересующего Вас домена для получения информации о нем):

4 онлайн-сервиса для поиска архивной информации о WHOIS домена

Тариф для партнеров
от 50 доменов на договоре

150 руб. за домен

  • Стать партнером
  • Установка и настройка бесплатно
  • Домены продаются в R01 и в RU-CENTER

* — указанная цена действительна при выборе R01 в мастере регистрации. Подробнее о тарифах.

Преимущества регистратора R01
  1. Первый аккредитованный регистратор в зоне .RU
  2. Оптовая регистрация доменов. Хостинг + домен из единого интерфейса
  3. Удобная реселлерская панель — биллинг R01 для автоматизации бизнеса
  4. Индивидуальные партнерские программы, функциональный шлюз для партнеров
  5. Полное скрытие личных данных в Whois-сервисе
  6. Удобная система регистрации доменов и управления зоной DNS
  7. Мы не снимаем с делегирования неоплаченные домены в выходные и праздничные дни. Отдыхайте спокойно!

SSL-сертификат — это уникальная цифровая подпись сайта для надежной защиты при передаче данных.

Подтверждает подлинность сайта и положительно влияет на ранжирование в поисковых системах.

SSL-сертификат в подарок

Хостинг Мини Макси Ультра
Диск 3 Гб 7 Гб 12 Гб
Сайтов до 6 до 12 до 24
PHP, Perl, Mysql + +
Выделенная память, МБ 64 128 192
Число процессов 16 32 64
Выделенный IP, SSL +
Цена * от 162.5 руб/мес от 262.5 руб/мес от 407.5 руб/мес

Дополнительные услуги Развернуть все дополнительные услуги
Проверка работы сайта Открытие ФИО, телефона и e-mail Редактор DNS Парковка доменов (простой сайт-визитка, используя готовые шаблоны) Mail-forwarding (перенаправление почты)
Web-forwarding (перенаправление сайта) SMS-уведомления Ограничение доступа к личному кабинету по IP R01.BAR

Все цены представлены в рублях с учетом НДС=20%

Зарегистрировать домен и заказать хостинг на сайте Регистратора R01 просто!

Поиск информации о владельце сайта

Ежедневно в сети публикуется огромное количество различной информации: изображения, тексты, видео и аудио контент. Нередко размещенная владельцем интернет-ресурса информация нарушает закон. Наиболее частыми нарушениями является нарушение авторских / исключительных прав на результаты интеллектуальной деятельности (дизайн, фотоизображения, литературные произведения, товарные знаки, персонажи и т.п.), информация, порочащая честь, достоинство и деловую репутацию, недобросовестная реклама, информация, необходимая для защиты прав потребителя (по делам, связанным с интернет-торговлей).

Для предъявления претензий и исков в связи с размещением информации в сети Интернет, необходимо определить надлежащее лицо, ответственное за нарушение.

В соответствии с ФЗ «Об информации, информационных технологиях и о защите информации» владельцем сайта в сети «Интернет» является лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети «Интернет», в том числе порядок размещения информации на таком сайте. Сложившаяся судебная и правоприменительная практика исходит из того, что администратор домена обладает всем кругом полномочий по определению порядка использования сайта, и является надлежащим ответчиком по искам, связанным с размещением информации в сети интернет.


Проблема в том, что чаще всего домен оформлен на физическое лицо и информация об администраторе домена скрыта, вместо этого в открытых источниках указано только private person

Как узнать владельца сайта для предъявления иска в суд?

В соответствии с Правилами регистрации доменных имен в доменах .RU и .РФ, утвержденными Координационным центром национального домена сети Интернет, информацию об администраторе домена в данных зонах можно получить у регистратора доменных имен на основании адвокатского запроса для целей предъявления иска в суд.

Whois сервис «Вебджастис» позволяет за считанные минуты сформировать заявку на подготовку адвокатского запроса и совершить все необходимые действия для получения информации об администраторе домена. Ответ на адвокатский запрос регистратор направляет в течение месяца с момента получения запроса адвоката.

При помощи Whois сервиса «Вебджастис» вы можете онлайн совершенно бесплатно получить информацию whois, включающую данные о дате регистрации домена, дате истечения срока его делегирования, владельце домена и наименовании регистратора, зарегистрировавшего домен.

Срочное получение ответа об администраторе домена от регистратора

Некоторые регистраторы за дополнительную плату предоставляют ответы на адвокатские запросы в срочном порядке. В этом случае сведения о владельце сайта могут быть предоставлены адвокату всего за 2 часа. Сроки и стоимость предоставления срочного ответа на адвокатский запрос у разных регистраторов отличаются.

При ускоренном получении сведений о владельце домена регистратор предоставляет ответ в электронном виде, а позднее направляет адвокату ответ на бумажном носителе с подписью и печатью. При этом, как показывает практика, электронного ответа вполне достаточно чтобы подготовить и подать исковое заявление в суд.

Домены могут быть зарегистрированы у различных регистраторов, поэтому чтобы узнать возможно ли срочное получение адвокатом сведений о владельце сайта по вашему обращению, в отношении конкретного домена, свяжитесь с нами по телефону или электронной почте:

WHOIS проверка домена — подробная информации о владельце домена, сайта

Проверка WHOIS домена — онлайн сервис позволяет бесплатно узнать регистрационные и контактные данные владельцев доменов, сайтов, серверов и автономных сетей

Для чего нужна проверка сайта по WHOIS

Узнайте информацию о владельце сайта – контакты, имя, адрес, данные о компании-регистраторе, дату регистрации домена, окончания регистрации, статус и нейм-сервера (NS-сервера).

Онлайн-проверка WHOIS позволяет определить возраст сайта, что важно для оценки конкурентов в поисковой выдаче и создания стратегии SEO-продвижения. Также во многих случаях отображаемые контакты позволяют связаться с владельцем или регистратором сайта для решения рабочих вопросов – размещения рекламы, удаления контента, отправки жалоб.

Возраст сайта полезно оценивать и перед совершением на нем финансовых операций – покупки товаров или заказа услуг, поскольку сайт, зарегистрированный несколько дней или месяцев назад, может оказаться мошенническим. И наоборот, если сайт работает уже несколько лет, с большой вероятностью ему можно доверять.

Как узнать, что домен занят или свободен

Если домен зарегистрирован и активен (не удален), онлайн-сервис WHOIS покажет данные о владельце. Если данные не отображаются или выводится статус «No match for domain», с большой вероятностью домен свободен и его можно зарегистрировать.

Также по дате окончания регистрации занятого домена можно определить, когда он станет свободным – если домен не будет продлен, то через 35 дней после этой даты его можно будет зарегистрировать.

Почему в WHOIS некоторых сайтов не видно контакты владельца

Регистраторы доменов могут предоставлять услугу скрытия персональных данных в WHOIS – в этом случае данные владельца заменяются данными регистратора, в том числе e-mail для жалоб.

Важно: все письма, отправленные на технический почтовый ящик, указанный в WHOIS, будут перенаправлены на e-mail владельца сайта, поэтому в любом случае контакты из WHOIS позволяют с ним связаться.

Если нужны другие контакты владельца, попробуйте найти их по домену сайта в поисковых системах, возможно, сайт зарегистрирован в онлайн-каталогах, где указаны телефоны и e-mail для связи.

Зачем может потребоваться проверка WHOIS домена

У каждого сайта в интернете есть свой домен, текстовое имя. В отличие от IP-адреса, состоящего из набора цифр, запомнить такие имена проще, то есть отыскать портал не составит труда. Обычно доменное имя намекает или прямо говорит о направленности и специфике сайта. Например, rmnt.ru расшифровывается просто «ремонт» без гласных букв. Или finansi.ком — понятно, что сайт посвящён финансовой теме. Однако по доменному имени можно узнать намного больше о портале!

Мастер Йода рекомендует:  JavaScript и то, что вы о нем не знали логические операции

Что покажет WHOIS проверка домена

Понятно, что с английского WHOIS переводится как «кто это?». Такая проверка нацелена на получение дополнительных сведений о портале. В частности, она помогает узнать:


  • Кто собственник сайта, какая компания или частное лицо им владеет;
  • Контакты владельца сайта, в том числе его юридический и электронный адреса;
  • Данные о регистраторе;
  • Возраст портала, когда именно он был зарегистрирован;
  • До какого числа действует доменное имя;
  • Статус сайта, нейм-серверы.

Зачем вам знать всё это? Чтобы оценить надёжность портала, с которым вы планируете сотрудничать. Например, вы решили заказать что-то в интернет-магазине. Проверили его домен по WHOIS и оказалось, что зарегистрирован он всего две недели назад. Подозрительно? Да. Лучше сотрудничать с порталами, которые существуют в сети годами, обзавелись определённой репутацией и собственными подписчиками. Так риск столкнуться с мошенниками намного меньше.

Кроме того, проверка WHOIS позволяет узнать, свободно ли понравившееся вам доменное имя. Например, вы хотите назвать ваш сайт vsenacvadbu.ру, посвятив его организации свадебных церемоний и продажи необходимых аксессуаров для них. Возможно, кто-то вас опередил и такой сайт уже есть. Если же проверка выдала ответ No match for domain, то вам повезло — скорее всего такой домен свободен, он не зарегистрирован в сети.

Даже если понравившееся доменное имя занято, запомните дату, до которой оно будет действительно. Потом проверите ещё раз — вдруг владелец не продлит срок действия, не заплатит и домен освободится.

Узнать контактные данные владельца тоже полезно. Возможно, вы намерены разместить на его портале рекламу, хотите пожаловаться на сворованный у вас контент или оскорбительные публикации. Даже если конкретно e-mail хозяина сайта не указан, всегда есть технический электронный адрес, с которого он всё равно получит ваше сообщение.

Проверка WHOIS домена на сайте биржи контента Адвего совершенно бесплатна и занимает буквально секунду. Советуем вам пользоваться этим полезным инструментом, узнаете много интересного о нужном вам сайте.

Делаем собственный сервис по определению WHOIS любого домена

Сервис WHOIS – это один из основных инструментов для людей, которые постоянно работают с доменными именами. Он нужен как любому человеку, желающему подобрать себе красивое доменное имя, так и хостинг-провайдеру, который помимо прочих услуг может предоставлять возможность регистрации домена. И те, и другие ищут автоматизации своей работы.

Итак, давайте разберёмся как это работает.

У каждой доменной зоны, будь то RU, COM или HOST есть как минимум один центр (whois-сервер), который обладает информацией о находящемся в её зоне домене. Для зоны RU, например, это whois.ripn.net и whois.tcinet.ru

Все whois-сервера всех доменных зон предоставляют информацию по строго унифицированному протоколу, слушающем подключения и запросы на 43-м порту.

Сам же запрос к whois-серверу – это просто отправка интересующего доменного имени на данный порт, после чего мы просто читаем ответ.

Для разработки системы автоматизированного получения WHOIS информации по доменам в первую очередь необходимо заполучить список серверов whois для всех существующих доменных зон. Правильным запросом Google в первой же строчке выдаёт ссылку на проект в GitHub, где выложен полноценный XML, содержащий всю требуемую нам информацию:

Сохраняем этот файл себе для последующего открытия в нашем приложении.

Если кому-то покажется, что постоянно обновлять XML файл и парсить его дело не очень удобное, то можно воспользоваться более простым способом – сторонним online-сервисом whois-servers.net. Просто склейте имя корневой зоны с хвостом «.whois-servers.net» и получите готовый адрес для отправки запроса на данные WHOIS (например, для зоны COM получится адрес «com.whois-servers.net»). Этот сервис к WHOIS не имеет никакого отношения, просто своими доменами третьего уровня ссылается на корректные адреса рабочих серверов WHOIS.

Пример разработан на C# в обычном WinForms: всего 2 текстовых поля и 1 кнопка.

Для получения списка серверов WHOIS по доменной зоне из загруженного файла XML была написана следующая функция:

Функция для получения WHOIS информации с уже известного сервера выглядит так:

Функция умеет автоматически конвертировать домены на кириллице (или любом другом языке), благодаря чему запрос отлично работает как с доменами в классических зонах на латинице, так и с любыми национальными. Особенно приятно, что в .NET эта конвертация реализуется одной строчкой кода с использованием класса System.Globalization.IdnMapping

Эти 2 созданные функции дают нам всё, что требуется и остаётся только обработать нажатие кнопки «Получить данные» на форме.

Имея доменное имя на входе для проверки WHOIS сначала нам необходимо вычленить зону, в которой он находится. Ввиду того, то домен может быть в зоне какого угодно уровня (вовсе не обязательно, что всегда во второй!), я написал простой цикл, который для каждого уровня, начиная с наивысшего, проверит наличие серверов WHOIS.

Далее спрашиваем информацию по домену у каждого из найденных серверов и записываем её в окно вывода результата.

Чтобы не собирать по частям из кода в статье, проект в готовом виде загрузил сюда.

Правила использования сервиса whois

Ограничения на использование информации

Сервис Whois предоставляется в информационных целях и может быть использован только для получения информации о доменном имени и контактных лицах.


Используя сервис Whois, вы соглашаетесь с тем, что:

  • будете использовать полученные данные только в законных целях;
  • не допустите использования полученных данных в целях организации любых рассылок по адресам электронной почты, факсу, телефону;
  • не будете производить массовых выборок информации.
  • изменять информацию, полученную с помощью сервиса Whois, в случае ее распространения в информационных целях;
  • использовать полученную информацию с целью ее дальнейшего распространения в коммерческих целях.

Технические ограничения на использование сервиса Whois

С одного IP-адреса допускается делать не более 30 запросов в минуту и не более 600 запросов в час. С одного IP-адреса не допускаются параллельные запросы.

В случае превышения установленных лимитов дальнейшие запросы не обрабатываются.

В случае неоднократного превышения установленных лимитов доступ к сервису Whois блокируется.

Для восстановления доступа к Whois-сервису необходимо направить письмо на адрес support@webnames.ru, содержащее следующую информацию:

  • просьба о восстановлении доступа к Whois-сервису;
  • IP-адрес, для которого прекращено предоставление доступа к Whois-сервису;
  • меры, предпринятые для того, чтобы в дальнейшем была предотвращена возможность превышения скорости направления запросов к Whois-сервису.

В случае повторных блокировок компания Регтайм оставляет за собой право не восстанавливать доступ к сервису Whois.

Компания Регтайм оставляет за собой право изменять данные условия и ограничения в любое время.

Как узнать владельца домена

Примеры вариантов поиска собственника домена

Whois базы

Согласно интернет-корпорации ICANN cервис WHOIS — бесплатный общедоступный каталог, содержащий контактную и техническую информацию о зарегистрированных владельцах доменных имен. Все желающие узнать о том, кто стоит за сайтом или доменным именем могут провести соответствующий поиск по службе каталогов WHOIS.

Whois — сетевой протокол, который используется для получения регистрационных данных о владельце доменного имени. Whois протокол может использовать только ту информацию, которая находится в свободном доступе регистраторов доменных имен, потому для некоторых доменов информация может быть неполной или скрытой. Это связано с настройками приватности конкретного домена.

Whois информация содержит:

  • дату регистрации
  • информацию о ns-серверах
  • компанию-регистратора доменного имени
  • контактные данные владельца домена
  • адрес владельца домена
  • ряд другой технической информации

Таким образом, обязательным правилом регистрации домена является указание своей контактной информации, которая хранится у регистраторов доменных имен, а также содержится в whois-базах (многие сервисы предоставляют возможность просмотра этой информации), открытых для всех желающих.

Этих баз с информацией о доменах множество и они обновляются по мере обновления информации о домене.

Наиболее популярными являются:


Это общие базы для всех доменных зон, но бывают и whois-базы для определенных доменных зон. Например:

  • nic.xyz/whois — для доменов в зоне .xyz
  • whois.mynic.my — для доменов в зоне .my
  • hostmaster.ua/?domadv — рекомендуем использовать этот сервис для проверки доменов в украинских зонах.

Также рекомендуем проверять домен в нескольких базах сразу для получения достоверной информации, т.к. данные этих ресурсов обновляются с различной частотой.

  • В поле поиска указываем домен, владельца которого необходимо найти
  • Нажимаем кнопку «Показать»/Найти» или подобную

В результате будет подобный результат:

Нас интересует раздел «Registrant» — в нем находится вся информация о владельце домена:

Чаще всего информация предоставляется блоками и в блоке «REGISTRANT CONTACT» отображается вся необходимая информация, включая имя, фамилию, email, телефон.

В случае использования Linux ОС или Mac ОС узнать информацию о домене можно, открыв консоль Terminal и написав команду:

Если контактная информация скрыта для искомого домена включена «whois защита данных» то в контактной информации необходимо найти поле Registrant email — строка «Email» в разделе «Registrant»
Пишем на него письмо и ждем ответа: владелец получит это письмо на email, указанный при регистрации домена

Мастер Йода рекомендует:  Изучаем SASS руководство для новичка

Поиск по email

Этот способ не позволяет узнать имя и фамилию владельца домена, но позволяет связаться по email с ним.

В связи с этим можно найти созданные почтовые ящики и попытаться связаться с владельцем через них

Перечень популярных имен для почтовых ящиков :

WHOIS поиск: информация о домене

Корпорация по управлению доменными именами и IP-адресами (ICANN) требует указывать ваши корректные контактные данные для внесения их в реестр доменной зоны. Сведения о владельце домена о компании или физическом лице вносятся при регистрации, доступны для редактирования при предоставлении администратором домена дополнительных документов Регистраторами доменных зон. Как только данные попадают в базу данных реестра, они впоследствии будут размещены в сервисе WHOIS и доступны для просмотра любым желающим, запросившим информацию о доменном имени. Данный сервис называется – проверка WHOIS.

Сервис WHOIS можно использовать для быстрого получения информации о домене, о дате его регистрации, возрасте, для получения сведений о владельце и для возможности связаться с ним или с организацией, владеющей доменом, который или вам интересен, или у вас есть вопросы или просьба, которую хотели бы выразить непосредственно ему.

Его часто используют для проверки –свободен ли домен для регистрации. Таким образом, информация о регистрации содержит сведения о владельце домена или об организации, контактную информацию, содержащую адрес почтовый, контактные телефоны, адрес электронной почты, доступные для всех. Могут быть указаны данные администратора, технических контактные данные и биллинговые. Это WHOIS-информация. Нет абсолютно никаких ограничений для доступа к этой информации. Она общедоступна и может быть использована спамерами, которые могут не только узнать инфо о домене, но и быть недобросовестными рекламными компаниями, доменными мошенниками или вашими конкурентами.

Мы предлагаем услугу скрытия WHOIS, которая позволит обезопасить в некоторых случаях вашу реальную информацию. Не все доменные зоны позволяют ее использовать, в некоторых доменных зонах по умолчанию информация о физических лицах уже скрыта до определения «private person».

При выборе услуги скрытия WHOIS персональная информация закрывается для третьих лиц и по доменному имени личные данные меняются на данные Digital Privacy Corporation. Это предотвратит все нежелательные электронные письма от спамеров и рекламщиков, но позволит вам контактировать с потенциальными клиентами и партнерами!

Здесь вы можете выполнить поиск доменного имени, зарегистрированного в 101Домен. Этот поиск покажет только те домены, которые были зарегистрированы у нас.

Защитить вашую персональную информацию с помощью.

Каждое зарегистрированное доменное имя содержит полное имя и контактную информацию о своем владельце, полностью доступную для просмотра. Защитите ваши персональные данные!

Имя Вашей компании
Ваше имя
123 Ваш адрес
Город, Область Страна
Соединенные Штаты
(213) 555-1234
[email protected]

Digital Privacy Corporation
3220 Executive Ridge Drive, Suite 101
C/O yourdomain.com
Vista, CA 92081
United States
(760) 448-2392
[email protected]


  • Домашняя страница 101domain
  • WHOIS поиск
  • Результаты поиска

WHOIS поиск: информация о домене

Обратите внимание!
Для связи с администраторами доменов .ru и .рф, используйте форму контактов.
Не забудьте указать в описании для администратора какого домена вы пишите сообщение.

Подпишитесь на нашу ежемесячную рассылку о новостях мира доменов и специальных предложениях.
Мы ценим вашу конфиденциальность и не будем раскрывать кому-либо ваш адрес электронной почты.

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Сбор информации о владельце сайта. Поиск сайтов одного лица

Содержание

Кейсы

Если кто-то при регистрации домена в качестве имени указал «Вася Пупкин» или спрятался за CloudFlare, это не означает, что его нельзя идентифицировать. Поиск владельца сайта, который не хочет представиться, обычно заключается в поиске фрагментов информации, которая позволяет его идентифицировать по другим источникам.

К примеру, на сайте «анонима» (либо в SOA записи DNS) найден e-mail, а гугление этого адреса привело на сайт с объявлениями о поиске сотрудников. Это объявление может содержать ФИО, телефон, город, дополнительную информацию по интересующему лицу. Поиск дополнительных подтверждений, в том числе гугление по только что найденному номеру телефона, – и «дело» можно считать раскрытым (владелец сайта идентифицирован).

Совсем безалаберные анонимы быстро кончаются, поэтому остаются самые хитрые, которые не оставляют таких явных зацепок. Задача получает дополнительный этап – предпринимаются попытки найти другие сайты неизвестного лица, и уже на этих сайтах найти зацепки для идентификации личности.

Это НЕ пошаговый мануал как нужно делать. Это статья – довольно базовый набросок об используемых для этой задачи приёмах. Будут рассмотрены возможности поиска по открытым источникам – те методы и инструменты, которые доступны абсолютно любому.

Как искать сайты одного человека

При поиске сайтов одного веб-мастера мы исходим из следующего:

  • иногда владелец нескольких сайтов размещает их все на одном сервере. Т.е. для поиска других сайтов нам нужно узнать IP сервера, где размещён сайт и найти все сайты на одном IP адресе;
  • владелец сайта часто использует уникальные идентификаторы, которые не меняются на разных сайтах. Это могут быть фрагменты кода партнёрских сетей (например, уникальный для каждой учётной записи индикатор содержится в коде вызова объявлений Google AdSense, eBay), счётчики (например, Google Analytics) и прочее;
  • веб-мастера имеют тенденцию использовать одинаковые технологии на разных серверах, иногда сайты загружают ресурсы (изображения, файлы CSS стилей, JavaScript библиотеки) с других сайтов этого же веб-мастера, либо имеют взаимные URL ссылки.

Начнём с рассмотрения используемых приёмов и инструментов, а затем изучим несколько кейсов-расследований.

Поиск сайтов на одном IP

Ищет сайты на одном IP, можно вводить доменное имя сайта, либо его IP адрес.

Поисковая система по исходному коду

Поиск фрагментов кода, подписей или ключевых слов в HTML, JS и CSS коде веб-страниц.


  • Любой HTML, JavaScript, CSS и простой текст в исходном коде веб-страниц
  • Сайты с одинаковым id налитики: «UA-19778070-«
  • Сайты, использующие одинаковый аккаунт AdSense: «pub-9533414948433288»
  • Сайты под управлением WordPress использующие одинаковую тему: «/wp-content/themes/snowfall/»
  • Поиск связанных сайтов через общие уникальные HTML коды, такие как ID виджетов и издателей
  • Идентификация сайтов, использующих конкретные изображения и бейджи

Синтаксис запросов на publicwww

Поиск только по доменам определённых зон

При желании можно ограничить результаты поиска только конкретными доменами верхнего уровня.

  • site:de bootstrap
  • site:it bootstrap
  • site:edu bootstrap
  • site:legal bootstrap

Поиск по фразе

Когда вы помещаете слово или фразу в двойные кавычки, результат будет содержать только сайты с этими же словами, в том же порядке, что и фраза в кавычках. Т.е.

Комбинирование фраз

Комбинирование поиска по нескольким фразам или ключевым словам.

Оператор НЕ

Когда вы используете знак минус перед словом или ключевой фразой, то она исключает сайты с ней из ваших результатов поиска.

Экранирование внутренних кавычек

Для использования двойных кавычек в поисковых запросах, их нужно экранировать обратным слешем:

Двойной обратный слеш

Если нужно использовать в поисковой фразе обратный слеш, то экранируйте обратный слеш другим обратным слешем. Два последовательных обратных слеша будут интерпретироваться как одиночный обратный слеш.

Определение настоящего IP сайта за Cloudflare. Поиск сайтов одного аккаунта, прячущихся за CloudFlare

Сайт CrimeFlare собрал базу данных сайтов за Cloudflare и их настоящие IP. Вы можете выполнить поиск по базе данных прямо на сайте: http://www.crimeflare.us:82/cfs.html#box

Если сайт найден, то для него будет выведена информация об IP и стране расположения:

Базы данных, по которым выполняется поиск, доступны для скачивания: http://www.crimeflare.us:82/zippy.html

Эти базы данных обновляются примерно каждые 3 недели. Всего имеется четыре базы данных:

  • ipout.zip – IP адреса сайтов за Cloudflare (для которых они известны)
  • nsout.zip – NS сервера сайтов
  • country.zip — IP адреса сайтов за Cloudflare (для которых они известны) вместе с названием стран
  • sslinfo.zip – информация об SSL сертификатов для сайтов за Cloudflare

При регистрации нового аккаунта CloudFlare, вы можете с лёгкостью позже добавить домены в этот аккаунт. Но для получения других nameservers (серверов имён) вам нужно зарегистрировать другой аккаунт. Требуется другой адрес email. В общем, сайты в одном аккаунте CloudFlare имеют одинаковые сервера имён, а это означает, что, перечислив все сайты с одинаковыми парами nameservers, мы можем найти сайты одного владельца.


Именно это делает сервис CrimeFlare, если в его базе данных отсутствует информацию о настоящем IP сайта. Для поиска интересующего сайта перейдите в форму поиска и введите домен, прячущийся за CloudFlare: http://www.crimeflare.us:82/cfs.html#box

Если IP не найден, то результаты поиска будут примерно такими:

Нам показаны DNS сервера интересующего нас домена:

А также есть ссылка для поиска сайтов, которые используют эти же самые доменные имена:

Ещё раз: в этом списке как сайты одного аккаунта CloudFlare, так и сайты других аккаунтов CloudFlare. Чтобы извлечь пользу из этого списка, нужно продолжить исследование. Например, можно сократить поиск, отобрав только русскоязычные домены.

Эксплуатация неправильной настройки DNS для выявления настоящего IP сайта за Cloudflare

CloudFail – это инструмент тактической разведки, который направлен на сбор достаточной информации о цели, защищенной Cloudflare, в надежде обнаружить местоположение сервера. Используя Tor для маскировки всех запросов, инструмент теперь имеет 3 разных этапа атаки.

  • Сканирование неправильной настройки DNS используя DNSDumpster.com.
  • Сканирование по базе данных Crimeflare.com.
  • Сканирование брут-форсом по 2897 субдоменам.
Мастер Йода рекомендует:  Быстрый путеводитель по Python cписки за 7 минут

Подробности об использовании здесь, а также в кейсах ниже.

Все DNS записи домена

В DNS записях домена иногда можно найти очень интересные вещи. Возьмём, к примеру, домен spryt.ru:

Как можно увидеть, используются DNS сервера Яндекса. У Яндекса есть интересная особенность, он записывает в SOA запись почту владельца сайта, в нашем случае там Spryt666.yandex.ru, т.е. домен связан с учётной записью и почтовым адресом Spryt666@yandex.ru, это даёт нам ниточку для последующего исследования и поиска по адресу электронной почты.

Кроме адресов электронной почты, интересны IP и вообще все необычные записи, которые могут дать толчок для последующих поисков.

Если домен защищён сетью CloudFlare, то вместо DNS записей вы получите сообщение:

Также все DNS записи домена можно посмотреть прямо в командной строке Linux командой dig:

Где ДОМЕН нужно заменить на интересующий домен, например:

Журнал xakep.ru тоже использует DNS Яндекса. Воспользуемся этим:

Результат: Журнал xakep.ru имеет аккаунт в Яндексе и почту xa.mag@yandex.ru.

Информация whois

Информация whois содержит данные об серверах имён домена (Name Server), а также может как содержать детальную информацию о владельце домена (вплоть до фамилии и имени, номера телефона и домашнего адреса до квартиры), так и не содержать чего-либо полезного (быть закрытой).

Посмотреть whois домена можно прямо из командной строки Linux:

Анализ HTTP заголовков ответа

К примеру, с помощью CrimeFlare были найдены сайты, принадлежащие, вероятно, одному аккаунту CloudFlare:

Поскольку других зацепок не было, то последним способом подтвердить предположение, что сайты принадлежат одному лицу/находятся на одном сервере, стало сравнение заголовков ответов, каждый из которых содержал строки:

Учитывая использование на всех сайтах ASP.NET, а также точное совпадение версии 4.0.30319, а также предыдущие данные об одинаковых NS серверах CloudFlare, можно почти с полной уверенностью утверждать, что это сайты одного человека.


Посмотреть HTTP заголовки ответа можно прямо из командной строки Linux:

Результаты сканирования WhatWeb

Программа WhatWeb собирает информацию об используемых на сайте технологиях, данная информация может содержать ID аналитики и другую интересную информацию, в том числе для получения «отпечатков» сайта и сервера.

Анализ коротких ссылок и ссылок с редиректами

Короткие ссылки могут содержать ID реферальных программ и другие интересные данные. Ссылка до достижения конечной цели может пройти множество редиректов. Данный сервис позволяет увидеть все промежуточные пункты, а также конечный URL адрес назначения.

Поиск по засветившимся адресам почты, никам и другой информации

В дополнении к publicwww, можно найти много полезного с использованием OSRFramework.

Онлайн реализация сервисов OSRFramework:

Поиск метаданных из файлов с сайта

На интересующем сайте могут содержаться файлы с метаданными. Такими файлами могут быть офисные документы (метаданные могут содержать информацию об имени владельца, дату создания/редактирования файла, время правки), изображения (метаданные могут содержать информацию о модели камеры, GPS координаты, где сделана фотография).

Дополнительно по данным вопросам:

Анализ HTML кода

Анализ HTML является очень важным этапом. Возможно, именно с него стоит начинать анализ. В HTML могут быть интересными:

  • комментарии. Стоит обращать внимание на содержание, язык комментариев. Комментарии могут «скрывать» ссылки на определённые разделы сайта
  • уникальные идентификаторы для последующего поиска по publicwww, например, идентификатор AdSense, который одинаковый на всех сайтах у одного владельца аккаунта (пример, ca-pub-4544128193654300), или идентификатор Google аналитики, который также одинаковый на всех сайтах одного владельца (пример, UA-28824767-1)
  • особенности исходного кода (необычные имена переменных и функций JavaScript, позволяющие искать по publicwww и прочее)

Анализ файла robots.txt

В файле robots.txt могут быть закрыты разделы или страницы сайта от индексирования поисковыми системами. У владельца сайта на это имеются причины и это может привести к последующему раскрытию информации.

К примеру, при анализе http://interesnoe.me/robots.txt видно, что закрыт от индексации каталог с говорящим названием /js-noindex/. Это позволило предположить, что используется Wap-Click (мошенническая модель монетизации пользователей мобильных устройств, заключается в подключении платных подписок). Поскольку веб-мастеру нужно хотя бы сделать вид, что вап-клик «это честно», то они размещают обращение для пользователя, обычно файл называется message_for_oss. Поиск по стандартному имени позволил найти файл http://interesnoe.me/message_for_oss.pdf.

В результате для последующего анализа обнаружен email: www3master@mail.ru

А в самом файле обнаружены некоторые метаданные, которые могут использоваться в качестве косвенных подтверждений:

Перечисление пользователей WordPress

У WordPress может быть множество пользователей. Их имена (ники) могут дать толчок для дальнейшего анализа.

Пользователей можно перечислить с помощью WPScan опция (—enumerate u) или используя онлайн сервис, ссылка на который дана выше.

Анализ виджетов

Виджеты могут содержать уникальный ID, подходящий для дальнейшего поиска по publicwww, либо из них можно извлечь пользу другим образом. Например, при клике на автора комментария в Disqus, можно увидеть его другие комментарии, в том числе на других сайтах.

Анализ ссылок, указывающих на интересующий сайт


Эти ссылки могут быть размещены в SEO целях или по другим причинам. Примеры сервисов, для анализа входящих ссылок:

Анализ ссылок с сайта

Если интересующий сайт ссылается на другие сайты, то этому тоже могут быть причины. Для поиска таких ссылок можно анализировать исходный код, либо внешние SEO сервисы, например:

Изучение истории whois и предыдущие IP сайта

Иногда информация в whois оказывается закрыта, но раньше она могла быть открыта. Также изменение информации whois может показывать смену владельца и другую информацию. По этой причине имеет смысл изучить историю таких изменений. Видимо, большинство подобных сервисов являются платными.

Историю смены IP сайта можно посмотреть бесплатно. Для этого имеется много онлайн сервисов, которые вы можете найти через Гугл.

Примеры сервисов, имеющих свои собственные базы (или базу) данных:

Сервис, работающий на основе данных VirusTotal:

Что я пропустил?

Наверняка я пропустил много общих и специальных методик поиска и сопоставления информации – пишите их в комментариях, дополним мануал вместе.

Также для установления владельца веб-сайта могут применяться пентестинг, социальная инженерия и «суперсила» правоохранительных органов делать запросы поставщикам услуг Интернета – это отдельные большие темы, и я намеренно их не затронул.

КЕЙСЫ

Кейс: находим настоящий IP сайта anti-malware.ru и связанные с компанией проекты

Реальный IP сайта anti-malware.ru защищён сетью CloudFlare. Поэтому я использую CloudFail для поиска интересной информации. Я делаю запуск из командной строки:

Найден интересный субдомен, который не защищён CloudFlare

Идём на сервис поиска сайтов на одном IP и вводим туда 148.251.151.141:

Итог: практически мгновенно мы обошли защиту CloudFlare и получили пучок сайтов для дальнейшего анализа. А ведь мы даже не заглянули на сам сайт, не анализировали HTML код, не искали уникальные ID, email адреса, не собирали отпечатков серверов и прочее. Все эти методики теперь можно направить на уже полученный список сайтов и составить список всех проектов компании.

Кстати, мы могли пойти другим путём и начать с анализа истории смены IP адреса сайта:

Как можно убедиться, подтверждён ранее найденный IP, а также мы получили дополнительные адреса (в том числе более свежий IP сервера) для последующего анализа.

Кейс: узнаём другие сайты и имя владельца ip-calculator.ru

При беглом взгляде на сайт, видим рекламу AdSense, идём в исходный код и ищем идентификатор издателя:

Это ca-pub-4544128193654300, переходим на publicwww и ищем по нему:

Переходим на сервис поиска сайтов-соседей на одном сервере/IP и ищем каждый из найденных на предыдущем этапе сайтов. Пропустив несколько результатов с shared (совместного) хостинга, получаем списки сайтов:

В списке сайтов имеется личный блог владельца, позволяющий установить его личность.

Проверка WHOIS доменов

WHOIS (от англ. who is «кто это?») — система, основной целью появления которой изначально была добыча контактных данных регистратора и владельца домена. Для поиска данных необходимо обладать лишь URL адресом интересующего домена.

Проверка WHOIS поможет бесплатно получить публичные регистрационные и контактные данные, дату регистрации домена, дату преимущественного продления и окончания.

Особенностью WHOIS-клиентов есть реализация их в виде консольных программ. Командная строка доступна не всем, также ей не просто пользоваться, поэтому самым удобным решением является именно веб-форма на основе консольного клиента, которую Вы сейчас видите.

Как проверить WHOIS домена сайта?

Для большего удобства мы реализовали в нашем инструменте возможность массовой проверки WHOIS по списку доменов. Введите от 1 до 10 URL адресов и бесплатно получите информацию о регистраторах и владельцах сайтов.

Whois информация содержит:

адрес ns-серверов;
дату регистрации домена;
дату изменения данных о домене;
дату окончания аренды домена;
компанию-регистратора доменного имени;
контактное лицо и другие данные.

У некоторых доменов информация скрыта — это дополнительная опция приватности, которую предоставляют регистраторы по желанию своих клиентов. Если Вам необходимо получить контактные данные владельца домена, информация по которому скрыта, внимательно изучите сам сайт, часто можно обнаружить контакты или форму обратной связи.

Be1.ru рекомендует не скрывать информацию о своих доменах, а также оставлять форму связи на сайтах. Это позволяет принимать порой очень выгодные предложения.

Добавить комментарий