Yüzlərlə saxta otel saytını təhlil etdiyimiz zaman qarşımıza çıxan mənzərə son dərəcə aydın idi: bu saytların yüzdə səksənindən çoxu Cloudflare CDN (Məzmun Çatdırılma Şəbəkəsi) arxasında yerləşirdi. Bu seçim təsadüfi deyil; Cloudflare, həqiqi server IP ünvanını gizlətdiyi üçün takedown (ləğv etmə) proseslərini ciddi dərəcədə çətinləşdirir.
Bir saxta sayta qarşı əməliyyat başlada bilmək üçün hostinq firmasına çatmaq lazımdır. Hostinq firmasına çatmaq üçün isə IP ünvanını bilmək şərtdir. Cloudflare bu IP-ni gizlədəndə proses tıxanır kimi görünür. Ancaq görünən ilə həqiqi hər zaman eyni deyil.
Bu məqalədə Cloudflare-ın necə işlədiyini, qorumanın niyə mütləq olmadığını və bu qorumadan yan keçərək saxta saytların həqiqi infrastrukturuna çatmaq üçün istifadə olunan texniki üsulları müzakirə edirik.
## Cloudflare Niyə Bu Qədər Geniş İstifadə Olunur?
Cloudflare-ı qanuni saytlar DDoS qoruması, sürət optimallaşdırılması və təhlükəsizlik üçün istifadə edir. Dələduzlar isə fərqli bir səbəblə üstünlük verirlər: anonim qalmaq.
Bir sayt Cloudflare-ın proxy-si arxasına keçdikdə, xaricdən edilən hər DNS sorğusu yalnız Cloudflare-ın IP ünvanlarını göstərir. Həqiqi server IP-si görünmür. Bu, həm ləğv etmə tələblərini çətinləşdirir, həm də hostinq firmasının aşkarlanmasını gücləndirir.
Sektor mütəxəssisləri qeyd edir ki, dələduzların Cloudflare-ı bu şəkildə istifadə etməsi əslində platformadan sui-istifadə hesab olunur. Cloudflare-ın öz siyasətləri bu istifadəni qadağan edir; ancaq şikayət gəlmədən sistem avtomatik olaraq müdaxilə etmir.
## Niyə "Tam Gizlilik" Bir Mifdir?
Cloudflare qoruması müəyyən bir qatda işləyir: HTTP və HTTPS trafikini maskalayır. Ancaq bir veb server yalnız veb trafiki ilə işləmir. E-poçt serverləri, köhnə DNS qeydləri, subdomen konfiqurasiyaları və server davranışları bu maskanın xaricində qala bilər.
Araşdırmamızda gördük ki, Cloudflare istifadə edən saxta saytların yüzdə yetmiş üçündə, ən azı bir alternativ üsulla həqiqi IP ünvanına çatmaq mümkün oldu.
## Üsul 1: Subdomen Sızması
Ən geniş yayılmış və ən səmərəli açıqdır. Əsas domen Cloudflare arxasında olsa belə, subdomenlər fərqli bir konfiqurasiya ilə birbaşa server IP-sinə işarə edə bilər.
Bunun texniki səbəbi budur: SMTP (e-poçt) trafiki Cloudflare proxy-si üzərindən yönləndirilə bilməz. "mail.saxtaotel.com" və ya "smtp.saxtaotel.com" kimi subdomenlər birbaşa poçt serverinə qoşulmaq məcburiyyətindədir. Bu subdomen üçün DNS sorğusu edildikdə həqiqi IP ünvanı birbaşa görünür.
Araşdırmamızda aşkarladığımız bir hadisədə, əsas domen tamamilə Cloudflare qorumasındaykən "info." subdomeni Şərqi Avropadakı bir serverə birbaşa işarə edirdi. Eyni server üzərində 17 fərqli saxta rezervasiya saytı yerləşirdi.
Subdomen yoxlaması üçün istifadə olunan alətlər arasında Sublist3r, Amass və Subfinder sayıla bilər. Bu alətlər, bir domen üçün geniş yayılmış subdomen adlarını yoxlayır və hansının həqiqi IP-yə işarə etdiyini müəyyənləşdirir.
Cloudflare arxasındakı saxta saytlarda subdomen IP sızması aşkarlanması
### Hansı Subdomenlər Yoxlanılmalıdır?
- mail., smtp., imap., pop., mx., webmail. (e-poçt infrastrukturu) - ftp., sftp. (fayl transferi) - cpanel., whm., plesk., direct-admin. (hostinq panelləri) - api., backend., admin., portal. (tətbiq qatları) - dev., staging., test., beta. (inkişaf mühitləri)
## Üsul 2: DNS Keçmiş Qeydləri
Saxta saytların böyük əksəriyyəti başlanğıcda Cloudflare istifadə etmir. Sayt qurulduqdan sonra, aşkarlanma riskinə qarşı CDN arxasına keçid edirlər. Bu keçid öncəsi dövrdəki DNS qeydləri isə müxtəlif arxiv servislərində saxlanılır.
SecurityTrails və ViewDNS.info kimi passiv DNS verilənlər bazaları, bir domenin keçmişdə istifadə etdiyi IP ünvanlarını və nameserver qeydlərini saxlayır. Bu arxivlərə baxıldıqda, Cloudflare-a keçməzdən əvvəl istifadə olunan həqiqi server IP-si görünə bilir.
Bir müştərimizin təcrübəsində, saxta saytın Cloudflare-a keçid etdiyini bizə bildirmələrindən cəmi üç gün keçmişdi. SecurityTrails-də apardığımız sorğu, keçid öncəsi dövrdə istifadə olunan iki fərqli IP ünvanını ortaya çıxardı. Bu IP-lərdən biri hələ də aktiv olaraq birdən çox saxta sayta xidmət verirdi.
## Üsul 3: Certificate Transparency Log Araşdırması
CT loglarında yalnız domen adı deyil, bəzən IP əsaslı axtarışlar da edilə bilər. Bəzi serverlər öz birbaşa IP ünvanları üçün də SSL sertifikatı alır.
Bir IP ünvanı aşkarlanandan sonra crt.sh-də o IP-yə aid sertifikat qeydləri axtarıla bilər. Bu axtarış, eyni infrastruktur üzərindəki digər saxta saytları ortaya çıxara bilər.
Həqiqi bir hadisədə: bir saxta otel saytının IP ünvanını subdomen üsulu ilə tapdıqdan sonra CT loglarında apardığımız axtarışda eyni IP üçün 27 fərqli saxta domen daha aşkarladıq. Hamısı eyni əməliyyat çərçivəsində idi.
Certificate Transparency logları haqqında daha ətraflı məlumat əldə etmək üçün Certificate Transparency Log İzləmə məqaləmizi nəzərdən keçirməyinizi tövsiyə edirik.
## Üsul 4: Shodan və İnfrastruktur Kəşfiyyatı
Shodan, internetə qoşulmuş cihaz və serverləri davamlı olaraq yoxlayan bir axtarış motorudur. Bir IP ünvanı Shodan-da axtarıldıqda, o serverdə işləyən proqram təminatı versiyaları, açıq portlar, servis başlıqları (HTTP response headers) və banner məlumatları görünə bilər.
Bu məlumatlar bir neçə fərqli məqsədlə istifadə edilə bilər:
- Serverin hansı hostinq firmasına aid olduğunu müəyyənləşdirmək (ASN məlumatı) - Eyni serverdə yerləşən digər saytları aşkarlamaq - Server proqram təminatındakı bilinən təhlükəsizlik boşluqlarını qeyd etmək (takedown müraciətlərində dəstəkləyici dəlil)
Təhlil etdiyimiz saxta saytların bir hissəsində, Shodan yoxlamasından əldə edilən məlumatlar serverin qeydiyyatlı hostinq firmasının aşkarlanmasını təmin etdi və birbaşa o firmaya müraciət etmə imkanı verdi.
## Üsul 5: Apache və Nginx Konfiqurasiya Boşluqları
Bəzi veb serverlər, yanlış konfiqurasiya səbəbindən "/server-status" və ya "/server-info" kimi nöqtələrdə ətraflı server məlumatı yayır. Bu açıq olan serverlərdə, o serveri istifadə edən bütün virtual host adları siyahılana bilər.
Bu cür bir açıq aşkarlananda Cloudflare qoruması funksiyasını itirir. Çünki serverin öz bildirişi ilə bütün domenlər və IP əlaqəsi üzə çıxır. Təhlil etdiyimiz saxta saytlardan birində tam olaraq bu açıqla qarşılaşdıq; server 31 fərqli saxta domen saxlayırdı və hamısının məlumatını özü verirdi.
Bu cür açıqları aşkarlamaq üçün hər URL-i manual yoxlamaq lazım deyil. Avtomatik alətlər bu nöqtələri sürətlə yoxlaya bilər.
## Aşkarlanan IP ilə Nə Etmək Olar?
Həqiqi IP ünvanına çatmaq, takedown prosesini konkretləşdirir:
Hostinq firmasına birbaşa şikayət: IP-nin hansı hostinq firmasına aid olduğu ASN sorğusu ilə (bgp.he.net və ya ipinfo.io kimi alətlərlə) müəyyənləşdirilə bilər. Hostinq firmasının abuse e-poçt ünvanına, DMCA bildirişi və ya sui-istifadə şikayəti göndərilə bilər.
Cloudflare-a güclü müraciət: Cloudflare-a edilən şikayətlərdə həqiqi server məlumatı təqdim edilməsi, müraciətin qiymətləndirilmə prosesini sürətləndirir. Cloudflare, sui-istifadə siyasətini pozan saytların xidmətini kəsə bilər.
Prokurorluq müraciətində texniki dəlil: IP ünvanı və hostinq məlumatları, türk cinayət məhkəməsində texniki dəlil xarakteri daşıyır və istintaqın sürətlənməsinə kömək edir.
## Üsul 6: HTTP Cavab Başlığı Təhlili
Hər veb server, HTTP cavablarında müxtəlif başlıq (header) məlumatları göndərir. Bu başlıqlar arasında server proqram təminatı, işləmə mühiti və ya hostinq infrastrukturuna aid ipuçları ola bilər.
Xüsusilə diqqət ediləcək başlıqlar:
- Server: Apache, Nginx, LiteSpeed kimi server proqram təminatını açıqlaya bilər; bəzən versiya məlumatı da ehtiva edir - X-Powered-By: PHP versiyası, ASP.NET versiyası kimi işləmə mühiti məlumatı - CF-Cache-Status: Cloudflare keş statusu — saytın həqiqətən Cloudflare arxasında olub olmadığını təsdiqləyir - Set-Cookie: Bəzi hostinq platformaları cookie başlığında öz izlərini buraxır (cPanel, Plesk və s.)
Bu başlıqları yoxlamaq üçün brauzerin developer alətləri (F12 → Network nişanı) istifadə edilə bilər. Eyni zamanda curl əmrindən istifadə edərək başlıqları xam formatda görmək də mümkündür.
Bir müştərimizin təcrübəsində "X-Powered-By: PHP/7.4" və xüsusi bir sessiya cookie formatı, hostinq təminatçısının aşkarlanmasını mümkün etdi. Bu kombinasiya, müəyyən bir hostinq firmasının barmaq izini daşıyırdı və birbaşa o firmaya abuse bildirişi edilə bildi.
## Üsul 7: E-poçt MX Qeydi Təhlili
Saxta otel saytları reallıq qavrayışı yaratmaq üçün zaman-zaman funksional e-poçt ünvanları da istifadə edir. "[email protected]" kimi e-poçt ünvanları ehtiva edən əlaqə səhifələri, saxta sayta qanuni görünüş verir.
Bu e-poçt ünvanına aid MX (Mail Exchange) qeydini sorğulamaq, poçt serverinin IP ünvanını ortaya çıxara bilər. MXToolbox və ya dig əmri ilə edilən MX sorğusu, poçt trafikinin hara yönləndirildiyini göstərir. Poçt serveri əksər hallarda Cloudflare proxy-si arxasında deyil və həqiqi IP ünvanını üzə çıxarır.
Araşdırmamızda aşkarladığımız bir hadisədə MX qeydi, veb trafikindən tamamilə fərqli bir IP ünvanına işarə edirdi. O IP ünvanı üzərində daha əvvəl aşkarladığımız bir saxta hostinq infrastrukturu ilə üst-üstə düşürdü; bu sayədə iki fərqli saxta otel saytının eyni operatora aid olduğunu sənədləşdirə bildik.
## Bütün Üsulları Birləşdirən Bir Araşdırma Axını
Praktikada bu üsulları bir-birindən müstəqil deyil, bir axın içində tətbiq etmək ən səmərəli nəticəni verir. Tövsiyə olunan araşdırma sırası:
1. DNS keçmiş sorğusu (SecurityTrails): Cloudflare öncəsi IP var mı? 2. Subdomen yoxlaması: mail., smtp., ftp., admin. kimi subdomenlər birbaşa IP-yə işarə edir mi? 3. MX qeydi sorğusu: Poçt serveri IP-si hara bağlanır? 4. CT log araşdırması: Tapılan IP üçün başqa sertifikat qeydləri var mı? Eyni operatorun başqa saytları aşkarlana bilər mi? 5. Shodan yoxlaması: IP-də işləyən proqram təminatı və infrastruktur məlumatı 6. HTTP header təhlili: Hostinq platforması ipuçları
Bu axını tək bir saxta sayta tətbiq etdikdə orta hesabla 45-90 dəqiqə sərf edirik; ancaq nəticələr əksər hallarda yalnız o saytla deyil, bütün saxta əməliyyatla bağlı ətraflı məlumat verir.
Cloudflare IP aşkarlama araşdırma axını — SecurityTrails, Shodan və CT log təhlili
## Cloudflare-ın Sui-istifadəyə Yanaşması
Tez-tez verilən bir sual: Cloudflare bu saxta saytlara niyə xidmət göstərməyə davam edir?
Cloudflare, məzmun deyil, infrastruktur xidməti verən bir şirkətdir və öz siyasətlərinə görə qərar verir. Phishing, marka pozuntusu və dələduzluq ehtiva etdiyi sübut edilmiş saytların xidmətini kəsir; ancaq bu qərarı şikayətə əsaslanan bir proseslə verir.
Abuse bildirişləri qiymətləndirilərkən Cloudflare bunları axtarır:
- Konkret phishing sübutu (ödəniş forması, saxta rezervasiya ekranı və s.) - Marka pozuntusu sənədi (ticarət markası qeydiyyatı və ya açıq marka sahibliyi sübutu) - Zərərçəkən bəyanatları (zərərçəkən olduğunu sənədləşdirən istifadəçi şikayətləri)
Sektor mütəxəssisləri qeyd edir ki, sənəd keyfiyyəti yüksək bildirişlərdə Cloudflare-ın xidmət kəsmə qərarı 3-7 gün ərzində gəlir. Sənədi zəif və ya qeyri-müəyyən bildirişlərdə proses uzana bilir və ya nəticəsiz qala bilir.
Buna görə də Cloudflare bildirişindən əvvəl yuxarıdakı araşdırma üsulları ilə toplanan texniki sübutların bildirişə əlavə edilməsi kritik əhəmiyyət daşıyır.
## Manual Prosesdən Avtomatlaşdırmaya Keçid
Bu üsulları tək-tək tətbiq etmək həm texniki bilik tələb edir, həm də zaman alır. Araşdırmamızda bəzi hallarda saxta bir saytın həqiqi IP-sinə çatmaq saatlar çəkdi.
Saxta otel saytlarının sayı və mürəkkəbliyi nəzərə alındıqda, manual araşdırma uzun müddətdə davamlı deyil. Sektor mütəxəssisləri, bu cür təhlillərin avtomatlaşdırılmasının əməliyyat zərurətinə çevrildiyini qeyd edir.
Araşdırmamızda həqiqi IP-yə çatan otellərin saxta saytları orta hesabla 4 gün ərzində ləğv etdirdiyi görüldü. Həqiqi IP aşkarlanmayan hallarda isə bu müddət 3-6 həftəyə çatırdı; bu müddət ərzində saxta sayt qonaqlardan pul toplamağa davam edirdi. IP aşkarlanması, bir komfort məsələsi deyil; birbaşa iqtisadi itki ilə ölçülə bilən bir effektivlik fərqi yaradır.
Həqiqi IP aşkarlanması mərhələsində DNS keçmişi araşdırmasının yanında CT log izləmə də güclü bir tamamlayıcı texnikadır. Certificate Transparency logları vasitəsilə oteliniz adına alınan bütün SSL sertifikatlarını necə izləyəcəyinizi bu bələdçidə öyrənə bilərsiniz. Əlavə olaraq SecurityTrails və Shodan platformaları IP aşkarlanmasında tez-tez müraciət olunan pulsuz mənbələrdir.
## Tez-tez Verilən Suallar
Cloudflare arxasındakı bir saytı aşkarlamaq qanunidir mi? Bəli. Passiv DNS sorğusu, CT log araşdırması və arxiv yoxlaması tamamilə qanuni texnikalardır. Bu üsullar ictimaiyyətə açıq məlumatlardan istifadə edir. Birbaşa sistemə icazəsiz giriş və ya hücum xarakteri daşıyan hərəkətlər qanuni deyil; ancaq bu bələdçidə izah edilən üsullar bu kateqoriyaya aid deyil.
Cloudflare-ı keçən ən sürətli üsul hansıdır? DNS keçmişi araşdırması (SecurityTrails, PassiveDNS) və CT log sorğusu (crt.sh) əksər hallarda bir neçə dəqiqə ərzində nəticə verir. Sayta xas subdomenlər və ya köhnə e-poçt başlıqları da sürətli IP aşkarlanmasını təmin edə bilər. Dəqiq bir sıralama olmasa da, bu iki üsul birlikdə istifadə edildikdə müvəffəqiyyət dərəcəsi əhəmiyyətli dərəcədə artır.
Shodan hansı məlumatları təmin edir? Shodan, açıq portları yoxlayaraq müəyyən bir IP ünvanında işləyən servisləri və banner məlumatlarını siyahılayır. Bir IP-nin hansı ölkədə olduğunu, hansı hostinq təminatçısını istifadə etdiyini və açıq veb servislərini göstərir. Bu məlumatlar hostinq təminatçısına Abuse bildirişi hazırlanarkən konkret texniki sübut funksiyası görür.
Həqiqi IP olmadan takedown başlada bilərəm mi? Bəli. Həqiqi IP bilinməsə belə, domen registrara ICANN şikayəti və Cloudflare-a phishing bildirişi edilə bilər. Ancaq hostinq təminatçısına birbaşa müraciət edə bilmək və daha sürətli nəticə əldə edə bilmək üçün IP aşkarlanması vacib bir üstünlük təmin edir. Domen səviyyəsində takedown və həqiqi IP-ni izləyən serverin bağlanması bir-birini tamamlayan iki strategiyadır.
Otelinizə aid saxta saytların Cloudflare arxasındakı həqiqi infrastrukturunu aşkarlamaq üçün RuuSafe-in avtomatik yoxlama alətindən istifadə edin. İlk yoxlama pulsuz və bir neçə dəqiqə ərzində nəticə verir.
