Πώς να βρείτε την πραγματική IP πίσω από το Cloudflare; Τεχνικός Οδηγός

Όταν εξετάζουμε τις ψεύτικες ιστοσελίδες κρατήσεων που αυξήθηκαν πρόσφατα στον τουρκικό ξενοδοχειακό κλάδο, βλέπουμε ότι η πλειονότητά τους φιλοξενείται πίσω από το Cloudflare CDN. Αυτή η επιλογή δεν είναι τυχαία. Το Cloudflare αποκρύπτει την πραγματική IP του διακομιστή, καθιστώντας τις διαδικασίες takedown (κατάργησης) σημαντικά πιο δύσκολες.

Αναλύοντας εκατοντάδες ψεύτικες ιστοσελίδες ξενοδοχείων, διαπιστώσαμε ότι η συντριπτική πλειονότητα βρίσκεται υπό την προστασία του Cloudflare. Αυτό το επίπεδο προστασίας δεν είναι αδιαπέραστο — ωστόσο, δεν είναι δυνατόν να ξεπεραστεί χωρίς τη γνώση των σωστών μεθόδων.

Το Cloudflare λειτουργεί ως αντίστροφος proxy (reverse proxy). Κάθε αίτημα προς την ιστοσελίδα φτάνει πρώτα στους διακομιστές του Cloudflare, από εκεί προωθείται στον πραγματικό διακομιστή web και η απάντηση επιστρέφει στον χρήστη πάλι μέσω του Cloudflare.

Σε αυτή τη δομή, ο επισκέπτης βλέπει την IP του Cloudflare. Η πραγματική IP του διακομιστή φαίνεται απενεργοποιημένη. Ωστόσο, "απενεργοποιημένη" δεν σημαίνει "εντελώς κρυμμένη". Όταν τίθενται οι σωστές ερωτήσεις, η πραγματική IP μπορεί να διαρρεύσει από πολλά σημεία. Για μια λεπτομερή ανάλυση της συμπεριφοράς των ψεύτικων ιστοσελίδων πίσω από το Cloudflare, δείτε το άρθρο μας cloudflare-arkasindaki-sahte-siteleri-tespit-etme.

Είναι το πιο κοινό και εύκολα ανιχνεύσιμο κενό. Ακόμα και αν το κύριο domain είναι πίσω από το Cloudflare, τα subdomain που χρησιμοποιούνται για email συνήθως δείχνουν απευθείας στην IP του διακομιστή.

Όταν γίνεται αναζήτηση DNS για subdomain όπως "mail.sahteotel.com" ή "smtp.sahteotel.com", τις περισσότερες φορές επιστρέφεται απευθείας η πραγματική IP. Ο λόγος είναι τεχνικός: το πρωτόκολλο SMTP (email) δεν μπορεί να δρομολογηθεί μέσω του proxy του Cloudflare.

Σε μια ψεύτικη ιστοσελίδα που εντοπίσαμε στις έρευνές μας, ενώ το κύριο domain ήταν υπό την προστασία του Cloudflare, το subdomain "info." έδειχνε απευθείας σε μια IP με έδρα την Ουκρανία. Αυτή η IP φιλοξενούσε δεκάδες διαφορετικές ψεύτικες ιστοσελίδες ξενοδοχείων.

Οι περισσότερες ψεύτικες ιστοσελίδες ξεκινούν αρχικά χωρίς Cloudflare και αργότερα μεταφέρονται πίσω από το CDN για να αποφύγουν τον κίνδυνο εντοπισμού. Οι εγγραφές DNS πριν από αυτή τη μετάβαση παραμένουν στα αρχεία.

Υπηρεσίες όπως το SecurityTrails, το ViewDNS και το PassiveDNS αποθηκεύουν σε ποιες διευθύνσεις IP έδειχνε ένα domain στο παρελθόν. Η IP που χρησιμοποιούσε μια ψεύτικη ιστοσελίδα πριν μεταβεί στο Cloudflare μπορεί να είναι ορατή σε αυτά τα αρχεία.

Οι ειδικοί του κλάδου αναφέρουν ότι αυτές οι παλιές εγγραφές IP είναι κρίσιμης σημασίας για την αποκάλυψη της υποδομής διακομιστών όπου φιλοξενούνται οι ψεύτικες ιστοσελίδες. Μόλις βρεθεί μια IP, γίνεται δυνατό να καταγραφούν όλες οι άλλες ψεύτικες ιστοσελίδες στον ίδιο διακομιστή.

Κάθε φορά που λαμβάνεται ένα πιστοποιητικό SSL, το όνομα του domain (όχι η IP του κατόχου) καταγράφεται στα CT logs. Ωστόσο, ορισμένοι διακομιστές μπορούν να λάβουν πιστοποιητικά και για τις δικές τους απευθείας IP διευθύνσεις.

Σε εργαλεία αναζήτησης CT logs όπως το crt.sh, όταν γίνεται αναζήτηση βάσει διεύθυνσης IP, μπορούν να προβληθούν οι εγγραφές πιστοποιητικών για όλα τα domain που φιλοξενούνται σε αυτή την IP. Αυτή η μέθοδος είναι εξαιρετικά αποτελεσματική για την εύρεση άλλων ψεύτικων ιστοσελίδων στην ίδια υποδομή αφού εντοπιστεί μια IP.

Σε μια πραγματική περίπτωση: αφού βρήκαμε την IP μιας ψεύτικης ιστοσελίδας ξενοδοχείου με τη μέθοδο του subdomain, στην αναζήτηση που κάναμε στα CT logs για την ίδια IP, εντοπίσαμε 27 ακόμη διαφορετικά ψεύτικα domain. Όλα βρίσκονταν στην ίδια υποδομή. Για περισσότερες πληροφορίες σχετικά με τον τρόπο λειτουργίας των CT logs, δείτε τον οδηγό μας sahte-ssl-sertifika-tespiti-rehberi.

Το Shodan είναι μια μηχανή αναζήτησης που ευρετηριάζει συσκευές και διακομιστές συνδεδεμένους στο διαδίκτυο. Η αναζήτηση μιας IP στο Shodan μπορεί να αποκαλύψει τις εκδόσεις του λογισμικού που τρέχει στον διακομιστή, τις ανοιχτές θύρες και τις κεφαλίδες υπηρεσιών (HTTP headers).

Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν τόσο ως άμεσες αποδείξεις όσο και για την καλύτερη κατανόηση της υποδομής του διακομιστή. Σε ορισμένες από τις ψεύτικες ιστοσελίδες που αναλύσαμε, κατέστη δυνατός ο εντοπισμός της εταιρείας hosting μέσω των πληροφοριών κεφαλίδας HTTP που λάβαμε από τη σάρωση Shodan.

Εσφαλμένα ρυθμισμένοι διακομιστές web μπορεί να εκθέτουν λεπτομερείς πληροφορίες διακομιστή σε endpoints όπως το "/server-status" ή το "/server-info". Σε αυτούς τους εκτεθειμένους διακομιστές, μπορούν να καταγραφούν όλα τα ονόματα virtual host που χρησιμοποιούν αυτόν τον διακομιστή.

Πληροφορίες που λαμβάνονται από ένα τέτοιο κενό ασφαλείας απενεργοποιούν εντελώς την προστασία του Cloudflare, καθώς η σχέση μεταξύ όλων των domain και των IP αποκαλύπτεται από την ίδια την αναφορά του διακομιστή. Σε μια από τις ψεύτικες ιστοσελίδες που αναλύσαμε, συναντήσαμε ακριβώς αυτό το κενό. Ο διακομιστής φιλοξενούσε 31 διαφορετικά ψεύτικα domain και παρείχε ο ίδιος τις πληροφορίες για όλα αυτά.

Το Cloudflare σημαίνει ότι δεν μπορεί να δημιουργηθεί σύνδεση με την εντοπισμένη IP μιας ψεύτικης ιστοσελίδας μέσω του Cloudflare. Ωστόσο, αυτές οι πληροφορίες IP είναι κρίσιμης σημασίας στη διαδικασία takedown:

• Καταγγελία στην εταιρεία hosting: Όταν η πραγματική IP είναι γνωστή, μπορεί να εντοπιστεί σε ποια εταιρεία hosting ανήκει ο διακομιστής και να σταλεί απευθείας ειδοποίηση DMCA ή αναφορά κατάχρησης (abuse).
• Καταγγελία στο Cloudflare: Το Cloudflare μπορεί να διακόψει την υπηρεσία σε ιστοσελίδες που παραβιάζουν την πολιτική κατάχρησης. Οι πληροφορίες του πραγματικού διακομιστή αποτελούν ισχυρή αποδεικτική υποστήριξη σε αυτή τη διαδικασία.
• Αίτηση στην εισαγγελία: Οι πληροφορίες IP είναι η πιο κρίσιμη τεχνική απόδειξη για τον εντοπισμό της οργάνωσης.

Δοκιμάστε το δωρεάν εργαλείο μας που εντοπίζει αυτόματα τις πραγματικές IP των ψεύτικων ιστοσελίδων που ανήκουν στο ξενοδοχείο σας και την υποδομή του διακομιστή τους. Η πρώτη σάρωση δίνει αποτελέσματα σε λίγα λεπτά.