Enumeracion De Un Idiota
Bueno es una cosa que tarde o temprano ocurre.
Tarde o temprano te encuentras en internet con un idiota.
Es una certeza tan obbia que no hace falta ni de mostrarla.
A algunos seres humanos el anonimato y la comodidad de estar en casita
de papa acurrucadito en su habitacion les da una sensacion de prepotencia que les vuelve idiotas.
Por suerte cuando salen a la calle se vuelven mas timi-normalitos. (esa es mi esperanza)
Bueno el fin ayer me encontre con uno en un foro.
Al parecer a algunos les molesta que tengamos unos servidores en internet corriendo / aprendiendo / detectando ataques / y evolucionandolos.
Asi que hoy en un ratito me he propuesto un ejercicio de enumeracion.
Lo digo porque el mismo al que le molesta que tenga un servidor echo desde cero. se acomoda detras de un hosting compartido , un cpanel y un cloudflare.
Casualmente mi web se cayo ese mismo dia. (yo tampoco tengo la web productiva en un servidor. la tengo en un hosting compartido. Nostalgia.)
em50l@jejo.es$ ping -c1 listillo.eus PING listillo.eus (104.31.91.107) 56(84) bytes of data. 64 bytes from 104.31.91.107 (104.31.91.107): icmp_seq=1 ttl=60 time=36.6 ms
Veamos de quien es la ip:
em50l@jejo.es$ curl ipinfo.io/104.31.91.107
{
"ip": "104.31.91.107",
"city": "",
"region": "",
"country": "US",
"loc": "37.7510,-97.8220",
"org": "AS13335 Cloudflare, Inc.",
"readme": "https://ipinfo.io/missingauth"
Por supuesto cloudflare……
asi continuar la enumeracion por la ip ya no me sirve.
Sigo con whois.
em50l@jejo.es$ whois listillo.eus Domain Name: listillo.eus Registry Domain ID: ????????????-EUS Registrar WHOIS Server: whois.sucompañiaregistradora.com Registrar URL: http://www.sucompañiaregistradora.es Updated Date: 2019-09-02T17:50:02.428Z Creation Date: 2017-08-30T17:47:28.830Z Registry Expiry Date: 2020-08-30T17:47:28.830Z Registrar Registration Expiration Date: Registrar: sucompañiaregistradora S.A Registrar IANA ID: ???
Bien de aqui saco que solo lleva 2 años (le llevo 20 de ventaja).
Buscando y recabando informacion al final encuentro con la busqueda correcta.
find server ip behind Cloudflare
Segun estas busquedas hay maneras de averiguar que ip esta detras de cloudflare.
Asi que investigando…… se le escapo una IP en los registros DNS
em50l@jejo.es$ curl -H "Host: listillo.eus" -vI 31.193.225.54 * Rebuilt URL to: 31.193.225.54/ * Trying 31.193.225.54... * TCP_NODELAY set * Connected to 31.193.225.54 (31.193.225.54) port 80 (#0) > HEAD / HTTP/1.1 > Host: listillo.eus > User-Agent: curl/7.58.0 > Accept: */* > < HTTP/1.1 302 Moved Temporarily < Date: Fri, 13 Sep 2019 14:06:05 GMT < Server: Apache mod_bwlimited/1.4 Phusion_Passenger/5.3.7 < Location: https://listillo.eus/foro/index.php
La linea location me dice todo…..
ahora ya que tengo la ip se que hosting tiene.
puedo adivinar que tipo de plan.
y si tiene cuota mensual. (100Gb)
Y hasta aqui me quedo. No pienso seguir su juego.
Si me vuelve a tirar la web. La movere a un servidor
e intentare documentar y averigurar el origen del ataque.
Aunque merendarme esos 100Gb de cuota no me costaria nada la verdad.
em50l@jejo.es$
test