Advertisement
DeaD_EyE

sonnenstaatland.com

Apr 8th, 2017
684
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!

Sonnenstaatland

Quelle: pastebin
Update: 15.04.2017

Hinweis

Die veröffentlichten Materialien lassen vermuten, dass es sich um Fälschungen handelt. Umso gefährlicher ist aufgrund dieser Daten irgendwelche Rückschlüsse zu ziehen. Ich beziehe mich lieber auf Fakten, die ich durch die Analyse der Infrastruktur von Sonnenstaatland herausgefunden habe.

Zusammenfassung

Das Seite wird auf einem rumänischen dedizierten Server betrieben (109$/Monat - Ziemlich teures Angebot!). Um Angriffe gegen die Seite zu verhindern, verwenden sie das kostenlose Angebot von Cloudflare. E-Mail Server betreiben sie auf der gleichen Maschine. Daneben noch ein paar Webanwendungen für die Verwaltung des Servers.

Analyse

Derzeitig wird der Webserver von Sonnenstaatland in Rumänien bei https://flokinet.is/en/ betrieben. Der Betreiber Flokinet hat noch Co-Locations in Finnland und Island.

Um den Serverstandort zu verschleiern bzw. auch gegegen Angriffe geschützt zu sein, befindet sich der Webserver hinter Cloudflare. Ein Dienst um größere dDoS Angriffe (verteilte Angriffe durch viele Teilnehmer auf Dienste, in diesem Fall der Webserver) zu vereiteln.

Wenn ein Besucher die Seite sonnenstaatland besucht, wird zuerst der Nameserver von Cloudflare nach einer IP gefragt (A/AAAA). Der Browser baut dann eine HTTP-Verbindung zum Cloudflare-Webserver auf, der Cloudflare-Webserver sieht nach ob er was im Cache hat und ob der Request "gut" ist. Dann leitet der Cloudflare-Webserver (USA) den Request an den Webserver in Rumänien weiter und dieser beantwortet den Request. Die Antwort geht zurück an den Cloudflare-Webserver, der die Antwort dann letztendlich an den Besucher weiterleitet.

Um an diese Infos zu kommen, muss man sich ein bisschen mit DNS auskennen. Viele Betreiber machen den Fehler und betreiben auch den Mail-Server auf dem gleichen Host. Da ausschließlich der HTTP/HTTPS bei CloudFlare durchgeleitet wird, der Mailserververkehr aber nicht, hat man schonmal die IP-Adresse des Webservers, auf dem die Seite läuft. Also können die Angreifer den Webserver direkt angreifen, ohne das Cloudflare irgendeinen schutz bieten kann.

$ nslookup -query=ns sonnenstaatland.com
Non-authoritative answer:
sonnenstaatland.com     nameserver = clint.ns.cloudflare.com.
sonnenstaatland.com     nameserver = val.ns.cloudflare.com.

$ nslookup -query=a sonnenstaatland.com
Non-authoritative answer:
Name:   sonnenstaatland.com
Address: 104.28.10.90
Name:   sonnenstaatland.com
Address: 104.28.11.90

$ whois 104.28.10.90 | grep -i OrgName
OrgName:        Cloudflare, Inc.

geoiplookup 104.28.10.90
GeoIP Country Edition: US, United States

$ nslookup -query=mx sonnenstaatland.com
Non-authoritative answer:
sonnenstaatland.com     mail exchanger = 10 mail.sonnenstaatland.com.

$ nslookup -query=a mail.sonnenstaatland.com
Non-authoritative answer:
Name:   mail.sonnenstaatland.com
Address: 185.100.85.70

Mal kurz prüfen ob der Server antwortet: http://185.100.85.70

Serverstandort feststellen:


GeoIP Country Edition: RO, Romania```

Dann noch eben nachsehen wem das Netz gehört:

```$ whois 185.100.85.70 | egrep -i 'netname|descr'
netname:        FlokiNET-Romania
descr:          FlokiNET ehf
descr:          FlokiNET ehf```

Serverdienste
-------------
Jetzt noch gucken was dort für Dienste auf der Kiste laufen:

```$ nmap -sT 185.100.85.70

Starting Nmap 7.40 ( https://nmap.org ) at 2017-04-08 13:54 CEST
Nmap scan report for sonnenstaatland.com (185.100.85.70)
Host is up (0.054s latency).
Not shown: 986 filtered ports
PORT      STATE  SERVICE
21/tcp    open   ftp
25/tcp    open   smtp
80/tcp    open   http
110/tcp   open   pop3
143/tcp   open   imap
443/tcp   open   https
465/tcp   open   smtps
587/tcp   open   submission
993/tcp   open   imaps
995/tcp   open   pop3s
2525/tcp  open   ms-v-worlds
3306/tcp  open   mysql
5432/tcp  closed postgresql
12000/tcp closed cce4x

Nmap done: 1 IP address (1 host up) scanned in 35.86 seconds```

- 25, 110, 143, 465, 587, 993, 995, 2525 ist für E-Mail kram
- 80, 443 > Webserver
- 21 FTP, hat auch fast jeder

Ihre Datenbank ist von außen auch erreichbar [Port 3306].
In der Liste fehlt noch der Port 8083 für VESTA (Serververwaltung für Webkram). Als Installationsart werden sie Nginx+Apache gewählt haben.

Achja und sie setzen Piwik ein. Immerhin analysieren die ihre Daten selbst und lassen sie nicht durch google analytics auswerten.

LE Zertifikat - Cloudflare
--------------------------
Update: Das Zertifikat stammt von Cloudflare, wenn man die Domain besucht. Da ich vor einiger Zeit die IP des Webservers für sonnenstaatland.com in /etc/hosts eingetragen hatte, sah ich das Let's Encrypt Zertifikat.
~~Was ich noch nicht so ganz verstanden habe, dass sie ein Let's Encrypt Zertifikat über Cloudflare anbieten. Soweit ich weiß, ist das nur möglich, wenn man den Business-Plan (200$ pro Monat) hat. Wahrscheinlich interessiert es die Betreiber nicht. Die wollen nur, dass der Webserver möglichst immer störungsfrei erreichbar ist. Durch den Business-Plan bei Cloudflare haben sie das. D.h. würde man ihren Webserver ausschalten, wären teile der Webpräsenz immer noch aufgrund des Cachings bei Cloudflare sichtbar. Was dann natürlich nicht mehr geht, ist die Logik auf dem Server selbst. Also sowas wie beiträge im Forum schreiben, ginge dann nicht mehr, wenn der Webserver offline ist.~~

Also halten wir fest
--------------------
- ~~die geben sehr Wahrscheinlich 200$ pro Monat für CloudFlare aus (Erklärung dazu steht weiter oben)~~
- Cloudflare: free plan kostenlos
- sie sind bei Flokinet und haben höchstwahrscheinlich einen dedicated Server gemietet, der zwischen 109$ und 349$ pro Monat kosten kann (https://flokinet.is/en/dedicatedservers.php). Wie schon vorher fetsgestellt worden ist, nutzen sie VESTA. Da der Betreiber beim Shared-Hosting cPanel als Adminsoftware angibt, passt das nicht so ganz. Das schließt Shared-Hosting schon mal aus.
- Als CMS nutzen sie Wordpress (https://github.com/jekyc/wig)

Was mir noch so aufgefallen ist
-------------------------------
Auf dem Bild 0033.jpg ist eine E-Mail Adresse und IP-Adresse zu sehen. Die IP-Adresse ist 46.243.126.120. Die IP gehört dem Unternehmen https://www.babiel.com
Sie haben unter anderem die Bundestags-App entwickelt: https://www.babiel.com/en/home/leistungen/mobile-apps.html

Im gleichen Bild sieht man auch die E-Mail Adresse xxxxxxx@sst-3-intern.org
Die Domain sst-3-intern.org existiert nicht. Ich habe mal sst-0-intern.org bis sst-2000-intern.org durchlaufen lassen. Keine der Domains existiert. Also entweder diese Angabe ist falsch bzw. frei erfunden oder
sie verwenden für ihren Client kein DNS.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement