当前位置:安全资讯 >> 全文

研究人员找到部分暗网卖家的真实IP地址

发布时间:2017-11-17 21:55 标签: 暗网,IP
分享到 0

今年夏天执法部门将三大主要暗网市场一举端掉后,很多非法产品卖家自己另立锅灶开起了暗网商店,但在很多情况下,这些商店的配置并不过关,反而会暴露底层服务器的IP地址。

在暗网中,暴露真实的IP地址意味着执法部门能破门而入、没收服务器,并且有可能追踪到卖家及客户。

研究人员最爱追踪暗网门户网站

两个多月来,一名昵称是Sh1ttyKids的研究人员非常高效地找到了从事犯罪活动且泄露了真实IP地址的暗网商店。

Sh1ttyKids最近找到的是出售大麻制品的商店ElHerbolario,它的两个荷兰IP地址是188.209.52.177185.61.138.73。而这两个IP地址是由位于乌克兰的著名防弹托管公司BlazingFast所使用。

研究人员将消息公开后,荷兰相关部门从运行这台机器的数据中心没收了这台服务器,并且分析了数据,追踪到了消费者并将消息跟全球执法部门共享。

0.jpg

在拿下ElHerbolario前的两周也就是10月末,这名研究人员发现了意大利暗网社区 (IDC) 的一个IP地址。研究人员指出,这个IP地址即176.123.10.203可追溯至位于摩尔多瓦的一个网络主机,他已将信息告知相关部门。

毒品网站暴露IP地址和数据库备份

Sh1ttyKids追踪到的另外一个暗网网站是DrugStore by Stoned100,该网站出售大量非法产品如安非他明、摇头丸、哈希、MDMA、西地那非、大麻、甚至是勒索软件。

该网站运行着一个普通的WordPress程序、暴露了自己的IP地址,甚至暴露了数据库备份文件,从而导致单击即可访问数据库备份。

这名研究人员表示自己在追踪到DrugStore之前,也追踪到另外一个出售强化毒品性能的暗网网站,该网站的真实IP地址195.189.227.135位于乌克兰。

Sh1ttyKids表示,IP泄露都是管理员的错。他都是从小细节入手找到这些IP地址的,比如从一个洋葱网站未经保护的SSH指纹出发,通过搜索引擎如ShodanCensys发现真实存在的服务器及其IP地址。

大型暗网市场倒台也起着作用

Sh1ttyKids的技术较简单,而且可由有经验的网络服务器管理员防御住。但问题是运行这些新建暗网网站的人是“经验丰富的网络服务器管理员。”他们多是在20177月被拿下的暗网市场(如AlphaBayHansaRAMP)上出售服务的前卖家。

运行被拿下的这三家暗网论坛的都是经验丰富的编程人员,他们为卖家提供了点击式的界面供他们设置商家资料并出售非法产品。这些市场关闭后,很多卖家的货都砸到手里,想卖却无处可卖。于是一些卖家转到竞争对手如Dream MarketValhallaWall Street Market,其它卖家开始通过TelegramXMPP垃圾邮件出售商品,而有一些卖家决定自己设置网站单干。

但最后一种人不具备保护自己商店的能力,而成为调查暗网的研究人员和执法部门的囊中之物。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/dark-web-shops-are-leaking-ips-left-and-right/
参与讨论,请先 登录 | 注册

用户评论