Как вычислить по IP? Реальный пример деанонимизации “хакера”
Всем привет 👋.
Наша организация занимается сбором больших данных из телеграм, а также множеством других услуг связанных с телегой. Мы даем пользователям возможность поиска по нашим базам данных и постоянно сталкиваемся с тем, что кто-нибудь пытается искать в наших скриптах уязвимости, в том числе xss, sqlinj, phpinc и т. д. Мы учитываем возможные риски и стараемся очень тщательно фильтровать пользовательский input. В один из дней мы заметили подозрительную активность, пользователь отправил в поиск каталога телеграм каналов 8583 запроса за короткий промежуток времени и пытался внедрить спецсимволы, наши скрипты отработали как надо и обрезали потенциально опасный payload, но в админке слетел вывод json в таблице активности пользователей, которую быстро удалось восстановить в рабочее состояние.
Из таблицы активности пользователей стало ясно, что пользователь использовал автоматизированное ПО сканер для поиска потенциальных уязвимостей на нашем сайте, т. к. интервалы между большинством запросов были около 1 сек и всего за несколько часов было 8583 запроса. Даже Яндекс Метрика не записала никаких действий в этот период времени, т. к. запросы делались не через браузер, поэтому скрипты Яндекс Метрики не загружались и не фиксировали посещения каталога.
Все запросы были с одного IP-адреса 46.159.122.238.
Вот примеры некоторых из них:
Решено было провести базовые этапы идентификации IP-адреса для выявления предполагаемого злодея.
Этап 1. Проверка страны IP-адреса
Для определения страны IP-адреса не принципиально каким сервисом вы будете пользоваться. Я предпочитаю использовать whoer.net и он показал, что IP-адрес принадлежит Российскому провайдеру. Многие сайты не могут верно определить город IP-адреса, но в случае с российскими провайдерам очень хорошо с этой задачей справляется reg.ru/web-tools/geoip и решино было повторно проверить этот IP-адрес там. В результате мы узнали, что предполагаемый хацкер находится в Краснодаре.
Этап 2. Поиск IP-адреса на торрент трекерах
Многие не задумываются, но когда вы качаете что-нибудь с торрентов ваш IP-адрес может посмотреть любой желающий, если у него будет доступ к *.torrent файлу при помощи которого вы скачиваете свой фильм или сериал. Об этом также задумались создатели сервиса iknowwhatyoudownload.com и начали собирать базу данных по пирам и сидам всех публичных *. torrent файлов, а затем сделали бесплатный поиск по собранным данным. Вбиваем туда IP адрес нашего злодея и узнаем, что не так давно он качал 19 различных торрентов по которым можно собрать небольшой психологических портрет, а самое интересное, что он качал сериал Хакер. Наверное для того чтобы набраться опыта 😀
Этап 3. Проверка IP-адреса по google доркам
Google Hacking Tests и Pentest-Tools.com — позволят быстро сгенерировать правильные запросы в гугл для поиска IP-адреса среди:
- Публичных и уязвимых каталогов
- Файлов конфигурации
- Файлов баз данных
- Логов
- Старых данных и данных резервного копирования
- Страниц аутентификации
- Ошибок SQL
- Документов хранящихся в общем доступе
- Информации о конфигурации php на сервере («phpinfo»)
- Файлов общего интерфейса шлюза (CGI)
Этот этап не дал никакого результата.
Этап 4. Поиск доменов привязанных к IP-адресу
Из прошлых этапов стало ясно, что злодей использует статический IP. Так как в разный период времени этот IP выпадает конкретно ему. Поэтому следующим этапом логично было проверить этот IP на привязку к сайтам, возможно он поднимал на своей локальной машине какой-нибудь сайт и специальные сервисы успели это засечь и поместить в свои базы данных. Пробую искать через 2ip.ru/domain-list-by-ip/ так как мой любимый domainbigdata.com по какой-то причине не доступен.
Этот этап также не дал никакого результата.
Этап 5. Поиск Skype аккаунта по IP-адресу
Хоть Skype уже не так популярен как в 2012, но все же есть люди, которые его используют. А раз его все еще кто-то использует, то продолжают существовать сервисы, которые помогают найти логин Skype по IP адресу. Я использую сервис webresolver.nl/tools/ip2skype, но он также не дал никакого результата.
Этап 6. Поиск IP-адреса в утекших базах данных
Немаловажным этапом любого интернет расследования являются утекшие базы данных различных сервисов. Особенно если мы используем базы данных не по отдельности, а при помощи поисковика, который собрал все базы данных в кучу и дал возможность поиска в один клик. Использую поисковик по утечкам leak-lookup.com и получаю еще одну зацепку.
В 2021 году этот IP-адрес засветился на сайте litecloud.me и его использовал пользователь с ником hardc0r_darkteam, а конкретно приставка darkteam как и скаченный торрент с сериалом Хакер указывают на то, что мы двигаемся в правильном направлении. Можно предположить, что 2005 в пароле указывает на год рождения злодея, а danil указывает на имя.
На этом этапе было решено оставить поиск по IP-адресу и переключиться на поиск по username и password, которые может использовать злодей. Следующий этап рассмотрим вкратце пропуская некоторые пункты так как там мы уже не будем работать с IP-адресом.
Финальный этап.
- Поиск по нику дает нам еще один сайт, где встречался этот логин, но лучше от этого не становится.
- Поиск по паролю дает почти 2000 результатов из которых сложно найти что-то конкретное.
- Идем искать ник hardc0r_darkteam в google и yandex, но не получаем никакого результата.
- Пробуем обрезать “_darkteam” от ника и “2005” от пароля, а затем поискать в hardc0r + danil. Получаем еще одну зацепку на сайте kwork.ru
- Далее ищем уже все 3 слова и находим сообщество ВКонтакте в котором всего 2 участника и один из них человек с именем Данил.
- Изучаем страницу Данила и понимаем, что год рождения на его странице скрыт. Пробиваем год рождения через сервис v1.220vk.ru/age и узнаем, что его год 2005 прям как в пароле у пользователя hardc0r_darkteam, а также приставка “_it” в его логине ВК и более 10 сообществ по программированию указывают на то, что злодеем все это время был именно он.
Если вам нужна помощь в деанонимизации злодеев, то мы с радостью вам поможем.
Школьник скачал туториал по хакингу, запустил автоматический детектор уязвимостей и сломал нафиг вашу феерическую поделку. И вы вместо того чтобы потратить время на образование и исправление и системы решили найти обидчика.
Я думал так делали только Джей и Молчаливый Боб. Но вы просто феерически превзошли их.
— Я пойду, отмудохаю тех двух уродов, которые навешали мне люлей, а ты помни: не доставай дрочило, пока она сама не захочет или.. хотя бы не заснёт!
Думаете компания 2 действия параллельно не может делать?
А зачем мне думать, вы уже додумали за меня!
Ой да им славы захотелось Симомуры. Только забыли, что Митник остался героем в летах, а Симомуре досталось роль клоуна, в тени Кевина
Статья - выдумка. Если ip статический, т.е. персональный (что в данном случае удивляет), то бан по ip и заявление куда следует. Всё :)
Комментарий недоступен
А то, что хакер искал у них дыры явно с домашнего IP вас не смутило?)
Но статья получилась интересная и поучительная - с любой стороны, если вы пытаетесь взломать или вас пытаются взломать, не нужно забывать о безопасности.
И спасибо, что напомнили про сайт с торрентами, я уже забыл про него...
Мне одному показалось странным что злодей годами использует один и тоже статический IP адресс?
Батя скорее всего купил статику на свой роутер
Странно что не показалось странным всем. Сразу стал ясен уровень хакера, что собственно подтвердилось годом рождения.
Итак, вы нашли его. Что дальше?
Дальше побежали писать статью на виси
Доброе слово и пистолет, конечно же. Это всем известно.
Как что, пишем в личку в вк «мы тебя по айпи вычислили111». Школьник делает энурез, и умоляет о пощаде.
Как что? Вот что. https://youtu.be/dWGZY2GzBsA
По части поиска принадлежности IP к стране, городу, провайдеру - лучше использовать jwhois (для Linux) из командной строки. В онлайн сервисах часто только геолокацию показывают, а это дело тёмное.
Можно, например, указать геолокацию RU, но при этом фактически IP адрес может быть расположен где-нибудь в Европе.
jwhois работает как хороший whois клиент и пытается обратиться за публично доступным данным базы конкретного реестра зоны (для Европы и СНГ это RIPE.net, для США - ARIN, для Африки, Азии - Afrinic и т.д.).
Забавный случай, в раскрытии кулхацкера вам помог слив майнкрафт-серваков и тот факт, что там почти все юзают лёгкие пароли
Однажды вычислил по IP следующим образом. Во-первых, мне надо сначала получить этот самый IP, а на форуме узнать чужой IP можно путём отправки в личку сообщения со вставленным в IMG-тег пикселем. Это ссылка на изображение на моём сервере, тупо 1 пиксель. Чел открывает личку, его IP тут же в моих логах. Пробиваю IP, вижу на нём крутится сайт компьютерного клуба. Захожу на сайт. Пишет они расположены по 2 адресам, в разных районах Москвы. Смотрю провайдера IP-адреса, захожу на их сайт, там написано "предоставляем услуги в таких-то районах Москвы". И среди этих районов только один, где этот компьютерный клуб есть, а другой нет. Готов.
Хорошо, если сервисы разрешают вот так просто отправлять вложенные изображения. Почтовые сервисы, тот же gmail давно уже шлют не ссылку на картинку, а ее локальную копию со своих серверов
Стоит прикреплять файлом, а не картинкой.
Если это шутка, то смешная 😁
Так описанная история и случилась, наверное, в 2007 году
Всегда было интересно как находят по айпи, думала это быстрее, чем сколько написано нюансов
Ну если бы авторам было сильно нужно, то они бы навели мосты с провайдером «хакера», получили бы домашний адрес, а там осталось бы на месте разобраться кому в семейке морду бить. В общем, интернет давно не анонимен, и реальные негодяи прикладывают усилия, чтобы заметать следы.
А что провайдер обязан сливать инфу о своих пользователях по первому же запросу? как минимум, запрос ведь должен быть от правохранительных органов?
Не знаю как обстоят дела сейчас, но лет 10 назад у меня были знакомые во всех проводных провайдерах моего 500-тысячного городка, за пиво подгоняли любую информацию об абонентах.
Этап 5 (со скайпом) протух еще лет 6-7 назад, если не больше. А вы до сих пор пытаетесь так кого-то найти?
Поиск по скайпу был не единственным путем.
А вы до сих пор пытаетесь так кого-то найти?В итоге же нашли.
Осторожнее надо теперь с Торрентов скачивать🙈😂
Комментарий недоступен
Махровый злодей! И не стыдно тебе, наглец? )))))
Поиску по соцсетям по-моему неоправданно мало времени было уделено. Фактически он и вытянул весь процесс
Чтобы выйти на поиск по сеткам, надо сначала найти зацепки, по каким тегам или именам искать. Дальше только дело техники
Значит проблема в том, что надо найти другие зацепки?
Именно. Для этого всё вышеописанное в статье и делалось
Как много совпадений, по-моему автор и сам школьник)
Спасибо за познавательное расследование. Конечно, мало профита от идентификации мамкиных хакеров. Но кое что можно почерпнуть
Прикольно было почитать, спасибо!)
значит ничего плохого писать не стоит, чтоб меня не нашли по IP