Какие ip-адреса необходимы для pgpru?
Часто бывает так, что запрос на соединение серверу отправляется по HTTPS, а потом происходит перенаправление и контент сайта загружается с иного ip-адреса по HTTP. Поначалу казалось, что так же работает pgpru. По HTTPS устанавливается соединение с 217.16.21.152 Мастерхоста, за этим следуют другие ip-адреса, обычно, Akamay, которых уже накопилось:
184.51.198.99
96.7.54.114
72.246.103.11
113.23.181.73
23.15.10.58
Постепенно перестал понимать связь контента и этих адресов: нет постоянства, необходимого, например, для счетчика посещений или других сервисов. Решил проверить и оказалось, что для загрузки контента pgpru достаточно 217.16.21.152
Легальные или не легальные остальные ip-шники?
Ссылки
[link1] https://www.pgpru.com/proekt/kommentarii
[link2] http://cdlabeler.speedguide.net/ip/195.12.232.147
[link3] https://ipdb.at/org/Akamai_Technologies
[link4] https://en.wikipedia.org/wiki/Akamai_Technologies
[link5] http://www.akamai.com/html/technology/index.html
[link6] http://www.pgpru.com/comment66573
[link7] http://www.pgpru.com/comment66653
[link8] http://www.pgpru.com/biblioteka/statji/certifiedlies
[link9] http://www.pgpru.com/comment53596
[link10] http://www.pgpru.com/novosti/2013/planovoeobnovleniesslsertifikatasajjta
[link11] https://www.pgpru.com/glavnaja/vhod
[link12] http://forum.oszone.net/showthread.php?t=95236
[link13] http://forum.kaspersky.com/lofiversion/index.php/t127129.html
[link14] http://news.netcraft.com/archives/2013/04/22/ocsp-server-performance-in-march-2013.html
[link15] http://news.netcraft.com/archives/2013/05/23/ocsp-server-performance-in-april-2013.html
[link16] http://uptime.netcraft.com/perf/reports/performance/OCSP?orderby=epercent&tn=april_2013
[link17] https://www.pgpru.com/comment70261
[link18] http://uinc.ru/news/sn19804.html
[link19] https://www.pgpru.com/comment69989
[link20] http://cryptome.info/nsa-ip-update10.htm
[link21] https://ru.wikipedia.org/wiki/Алмаз-Антей
[link22] https://en.wikipedia.org/wiki/Ocsp
[link23] https://www.pgpru.com/comment69945
[link24] https://www.pgpru.com/comment69948
[link25] https://www.pgpru.com/comment70160
[link26] https://www.pgpru.com/comment70164
[link27] https://www.pgpru.com/comment75259
[link28] http://www.pgpru.com/comment75274
[link29] http://www.pgpru.com/comment69948
[link30] http://www.cbc.ca/news2/pdf/airports_redacted.pdf
[link31] http://www.cbc.ca/news/politics/csec-used-airport-wi-fi-to-track-canadian-travellers-edward-snowden-documents-1.2517881
Непосредственно сайт pgpru никогда не пользовался какими бы то ни было CDN. Сайт всегда хостился на одном IP, никакие сторонние адреса не требовались и не требуются для его работы.
Понятно. Когда писал первое сообщение, долбится 23.15.10.58 и 23.15.10.73 Сейчас 96.7.54.114 и 96.7.54.128 Атаки на свою систему не замечал. Сканирование системы ничего не показало.
Wireshark в помощь.
Есть рекламные вставки — это раз (не знаю, могут ли они влиять), и есть вставки картинок пользователями, которые не прикреплены к странице, поэтому каждый раз подгружаются с внешнего сервера. Во втором случаяе будет наблюдаться broken https, битый замок и соединение с левыми серверами.
Рекламные вставки грузятся непосредственно с сайта, счётчиков, скриптов и каких-либо ещё внешних ресурсов у нас нет. Картинки — да, могут быть источником внешних запросов, но только с тех страниц, где они размещены.
На странице последних коментариев[link1] должно быть всё однообразно, насколько понимаю. Сегодня при ее обновлении появились два новых 195.12.232.155 и 195.12.232.147 Всегда порт 80.
У кого нет желания осваивать Wireshark, может проверить просто в консоли
$ netstat -autn
Надо смотреть не факт соединений, а их содержимое. Передавать что-то браузер может просто по факту подключения к сайту (всякая там проверка фишинговых/зловредных сайтов и т.п.).
Это да – у всех настройки разные...
Сейчас могу сказать только за свой комп. К определенной модели безопасности(настройки браузера, firewall и т.д.) давно привык – всякие аномалии заметны. Это тот случай.
Лучше netstat -apn, он всё показывает, даже программу, которая шлёт эти пакеты, но (для опции -p) надо её выполнять от рута. Предлагаю всё отключить лишнее, запустить снифер:
Официально пишут, что якобы никаких доменных имён нет на этих адресах:
http://myip.ms/info/whois/195.12.232.155
http://myip.ms/info/whois/195.12.232.147
Но по IP отвечают странные веб-сервера, похожие на счётчики: http://195.12.232.155, http://195.12.232.147. Оба IP принадлежат Швеции, которая тесно и официально сотрудничает с АНБ (тотальная слежка в Швеции официально легализована, писали тут об этом).
А тут[link2] пишут, что это Франция.
155-ый принадлежит[link3] Akamai[link4]. Вот их чёрный бизнес:
И вот ещё[link5]:
Ройте отсюда. Кстати, запрещена ли проверка сайтов на блеклисты в firefox?
Не знаю, как репликация сайтов реализована в Akamai технически. Может, наш slavehost включает это для своих сайтов по умолчанию?
Это же коннекты к OCSP серверу, проверка статуса у сертификата. По умолчанию это делают все браузеры, но если нужно то отключаемо. Для сертификата с pgpru проверка осуществляется на ocsp.startssl.com
Startssl держит сервера на акамаи.
Предположим, идет проверка сертификата, делаю ее недоступной firewall-ом, но это никак не отражается на загрузке страниц сайта. Ситуация тоже какая-то не нормальная.
Вообще, Акамаи – это хостинг, следовательно там могут быть разные конторы. Недавно из Винды на её ip-шник утекло 300-400МБ! Кому и зачем — вообще не понятно. Узнал об этом по счетчику, когда отключал модем.
Неправда[link6]:
Моя гипотеза — OSCP здесь ни при чём, а объяснение Гостя (05/09/2013 21:32) неверное. Само по себе соединение сайта с левыми IP, когда администратор сайта этого не настраивал, происходить не должно. Подозреваю, что включен левый функционал каким-то образом. Какая система-то? Есть ли плагины и расширения? Наблюдается ли эффект на чистом профиле? А в другой чистой ОС на LiveCD? Топикстартер пока никакой толком информации не предоставил.
Глянуть самому сертификат не судьба? Не знаю что было раньше, сейчас всё есть.
Я вам привёл ссылку на топик с последним обновлением сертификата этого сайта. /comment66653[link7] прозрачно намекает, что при HTTPS с pgpru ничего нигде дополнительно не запрашивается и не отправляется. Что только подтверждается цитатой:
Firefox игнорирует недоступность OSCP сервера, но если он ответил то проверяет статус. Вот такая вот безопасность.
У вас в браузере сертификат, который вы точно только что загрузили. Сертификат прозрачно намекает, что там есть, а чего нет. Посмотрите сами, что тут ещё нужно доказывать?
Я не спец по сертификатам, поэтому спорить не буду. Интересно послушать, что сказали бы sentaus и SATtva на этот счёт.
Выкладываю сертификат, как его видно здесь:
Так будет, если OSCP не настроен на fail closed — расценивать непрохождение проверки как недействительный сертификат. По умолчанию он везде fail open (не очень понятно, зачем он вообще нужен в этом случае).
Главное – браузер настроен спрашивать проверку сертификата. При загрузке сайта сертификат не запрашивается и в списках не значится.
Проверял по-разному. В основном под Виндой в браузере, где почти всё отключено.
195.12.232.155 и 195.12.232.147 получил в Линуксе. Плагины браузера, картинки и js были отключены. Заходил на pgpru первый и единственный раз.
О, startssl объявился. Со вчерашнего вечера 192.116.242.20 засвечивается вперемешку с 23.15.10.58 и 96.7.54.114
Как мне сейчас поступить? Законнектиться и смотреть в сторону сертификата или что…
Отключите в браузере проверку OSCP. Если и после этого продолжатся сторонние подключения, то, я даже не знаю... разбирайте трафик, смотрите, что там идёт.
Да, после откючения OSCP в Лисе под Линуксом остался только 217.16.21.152
Тогда ещё вопрос о сертификате с pgpru. В Opera в Управлении сертификатами есть несколько вкладок:
Издатели
Посредники
Одобренные
Во вкладке Одобренные pgpru отсутствует. Во вкладках Посредники и Издатели имеется StartCom. Этого достаточно?
Да, доверие наследуется от StartCom.
Нет[link8], конечно. Надо создать отдельный профиль firefox для pgpru.com и сделать certificate pinning[link9]: удалить вообще все корневые сертификаты, после первого захода на pgpru.com проверить отпечаток сайта[link10] руками в консоли (gpg в помощь), и добавить его в браузер, как исключение,
но и в этом случае сомнения не покидают меня. ©Кстати, раз TorProject всё равно патчит firefox, почему бы им руками статически не прописать там сертификаты для своего сайта и чекеров?
Не поручусь, но мне кажется, что раньше я что-то проверял, и firefox не страдал такими проблемами. OSCP ранее не было в нём включено по умолчанию? Никто не помнит?
Тикет откройте, может и сделают.
Firefox как-нибудь попробую настроить, но он не актуален – редко им пользуюсь. А в Opera не пойму даже как отключить OSCP.
Из последних наблюдений(не проверенных)
Если заходить на сайт со страницы вход[link11] и при этом блокировать другие соединения, кроме 217.16.21.152, тогда откроется следующая страница с сообщением об успешной авторизации. Если же законнектить ещё, например, 96.7.54.114, тогда вход[link11] обновится до сообщения об успешной авторизации. Если есть два варианта, то один из них более правильный, другой менее.
IP-шник startssl 192.116.242.20 при просмотре pgpru появлялся 1,5 суток. Теперь снова исчез, что впрочем соответствует просмотру https://www.startssl.com/?lang=ru
В опере тоже можно удалить все корневые сертификаты, поэтому методика работает один в один.
«законнектить» = «разрешить соединяться с ним с помощью файерволла»?
После ввода пароля? Не понял, чем это отличается от
Да.
При этом:
если открыть ip-шник на отдельной странице в браузере, то появится сообщение о редиректе и строка, начинающаяся с шарпа(#) Страница с адресом _http://X.X.X.X/#...... не обновляется, а висит постоянно в озу. У меня это вызывает подозрение на площадку для xss
Да, после ввода пароля и получения прав на редактирование страниц сайта. Отличается тем, что в первом случае будет две отдельные страницы – страница с формой для ввода пароля и страница с сообщением об успешной авторизации, на которые можно возвращаться при помощи стрелок браузера или Alt+Left/Right
Во-втором случае содержание страницы вход[link11] обновится до сообщения об успешной авторизации.
В firefox есть просмотр кода страницы, открываемый по ctrl+u. Иногда оно даёт информативное что-то, но в случае этих IP ничего такого не вижу.
В каком смысле возникает вторая страница? Это отдельная вкладка или всплывающее окно? Откуда бы оно появлялось... Обычно после ввода login:pass страница перезагружается и пишет сообщение об успешной авторизации (можно ли её прокрутить назад через alt+left до страницы с запросом логина-пароля — не знаю).
Ещё раз подчеркну, что пользуюсь браузером Opera.
Если Вы проверяли 96.7.54.114, то да – не срабатывает.
195.12.232.155
А соединения по странным IP шифрованные? Что в них wireshark видит? Даже если там TLS используется, то с большой вероятностью имя сервера через Server-Name-Indication будет видно.
Запросы на соединение со всех левых IP идут для порта 80.
Как-то совсем не радует меня такое занятие – разбирать трафик. В текучке, что заметил – записал :)
Startssl (192.116.242.20) сегодня снова появился.
tracert 195.12.232.155
195-12-232-155.customer.teliacarrier.com
Мало ли что и куда может слать опера, раз вы ей пользуетесь. Это проприетарный продукт напичканый всякой фигнёй, как и любой браузер. Если бы слал firefox, это ещё имело бы смысл разбирать, т.к. продукт с открытым исходным кодом и потому должен быть подконтролен, но разбирать шараварный софт... ну его на.
К примеру в опере был не отключаемый механизм обновления корневых сертификатов, в принципе. Но сейчас опера уже и не опера, а ещё один хромой браузер, поэтому могло что-то поменяться. Closed source при ней всё равно.
Ну, вот, началось…
Я легко соглашусь, что проблемы с настройками моего браузера. Даже тему читал[link12], где Опера фигурирует. Только одна заминка – на teliacarrier слазила Лиса из Линукса. Выше писал об этом(про единственный раз).
Может, в http://support.kaspersky.com/ смогут что-то подсказать? У них была похожая проблема.[link13]
А вообще, с другими сайтами ничего похожего не наблюдается.
Вы пробовали отключить OSCP и блэклисты в Firefox?
У оперы есть режим ускорения интернета. Opera Turbo или как он там. Не он ли виноват?
Да, есть такой режим. Отключен постоянно.
Firefox запускал два раза. Первый раз плагины браузера, картинки и js были отключены, дополнительных настроек не делал. Убедился, что проблема тоже существует, как в Opera. Второй раз по Вашему совету отключил OSCP и убедился, что левых соединений не осталось. Дальше продолжал пользоваться Оперой в прежнем режиме. Почему? Не вижу проблемы на своем компе(только firewall напрягается больше, чем обычно)
p.s. если все считают, что при вкюченном OSCP соединение с akamai/teliacarrier – это нормально, то будем считать тему закрытой.
Если вас это действительно волнует, то обратитесь в StartSSL и спросите у них, пользуются ли они услугами Akamai. Если да, то всё выходит логичным.
А они скажут всю правду? ;)
Мутная какая-то история.
Здесь[link14] пишут, что
Здесь[link15] Startssl ещё числится на десятом месте, но в полной версии[link16] того же списка его нет вообще. А дальше, как в воду канул.
А какой смысл её скрывать? Это же и так видно их клиентам.
Потестируйте какие-нибудь другие сайты, которые тоже используют сертификат, подписанный StartSSL. Если коннекты на левые IP при этом тоже будут наблюдаться, то всё консистентно.
netcraft блочит Tor-экситы, видимо, поэтому ваши ссылки не посмотреть. Смена цепочек не помогает.
Видно непонятную чехарду. Половинчатые объяснения всегда найдутся. Ну, а про используете/не используете народ (#[link17]) уже спрашивал.
Да, проверял на https://www.startssl.com/?lang=ru Ситуация аналогичная, но они себя не опасаются.
А в кэше Гугла?
_http://webcache.googleusercontent.com/search?q=cache:BfGrvsEc5q0J:news.netcraft.com/archives/2013/04/22/ocsp-server-performance-in-march-2013.html+StartCom+had+the+shortest+average+connect+time&cd=2&hl=ru&ct=clnk&gl=ru
Но вы же не знаете, пользуются ли услугами Akamai те, кто стоят на местах 1-9. Если да, то StartSSL ничем не выделен.
Сейчас напрямую открылось без проблем. Видимо, Tor у них всё-таки не полностью блочится.
Какая детская беспомощность! Неужели не могли найти поиском нейтральные сайты с сертификатом от StartSSL?! Дарю парочку для тестов бесплатно: https://forums.digitalpoint.com, https://wcjj.net.
Извиняюсь за детский вопрос. Чего нового Вам дало дополнительное тестирование?
Я ничего не тестирую, тестируете вы. Ещё один сайт с сертификатом от StartSSL — https://www.whonix.org. Проверить на нейтральном сайте я вам предложил, чтобы закрыть бершь
Похоже, давно необновляемый, без дополнительных настроек Firefox словил подтверждение вот этому[link18].
прим. teliasonerа=teliаcаrrier
Вах, третий пошёл! DigiNotar и Comodo уже там. Только это... а какое имеет отношение StartSSL/StartCom к teliasonerа/teliаcаrrier? Не улавливаю связь. FireFox вам показывает, что сертификат для pgpru.com выдан не StartSSL'ем, а TeliaSonera'ой? Т.е. классический MITM? Тогда киньте сюда сертификат, будет интересно посмотреть.
Тогда уж как минимум 4-й. Тут сообщалось уже в начале про какой-то турецкий УЦ, только отдельной новости не было – не такое это уже значительное событие. :)
Сертификат был и остается только StartCom-a. Пока ограничился этим сообщением[link19]. Следующему не последовал – настраивать не стал. Сейчас повторить, думаю, не получится, т.к. Startssl-евский 192.116.242.20 засвечивается стабильно(тогда его не было).
Вот ещё два странных IP:
http://myip.ms/info/whois/77.67.29.137 получен из Firefox-а в Linux (startssl не заметил)
http://myip.ms/info/whois/106.186.92.168 получен из Опера под Виндой вместе с startssl/192.116.242.20
NSA-Affiliated IP lists[link20] на конец 2007-го года. С тех пор многое изменилось. DigiNotar и Comodo тогда ещё не было. А вот Telia Sonera и вчерашний ne.jp уже были в строю. Кто-то удивится, но там значится и московский пров. О нем могут знать не понаслышке.
Написано же, что оба принадлежат Akamai, всё логично.
Almaz-Telecom, компания ВПК-Телеком. Напомнает[link21] мне кое-что.
Интересно, как много IP-адресов из этого списка сейчас числятся Tor-нодами. Никто не смотрел?
Что-то произошло с настройками Комода. Прежде при загрузке вэб-страниц он сигнализировал, что dns-запрос отправляет браузер, и всё работало. Теперь вдруг dns-запросы стал отправлять svchost. Комод тупо блочит его при любых настройках на Ask. Посмотрел на другой машине – там тоже dns-запросы идут отдельным соединением через svchost, но там работает. На форумах в интернете обсуждались подобные ситуации, но все заканчиваются общими фразами – не нашел ясного объяснения.
Пока настроил на автоматическую обработку соединений. За пару дней задолбался настраивать, теперь зашел на pgpru, но при соединении не вижу 192.116.242.20, а вот 195.12.232.155 цепляется стабильно, чего давно не было. Я чего-то не вижу на мониторе или Startssl снова отвалился?
О! Похоже, ребята из телиасонеры зря время не теряли. Запускаю браузер(последний сохраненный сеанс). Там много вкладок. Обновляю страничку pgpru и блокирую 195.12.232.155 После этого блокируются все остальные сайты. Если также перезапустить браузер, но начать с другой странички, то 195.12.232.155 на pgpru цепляется мимо файерволла. Осенью такого не было. Надо браузер проветривать, а я Комод двигал 8)
Не проще ли начать ходить на pgpru через Tor и забыть про все эти проблемы?
А причем тут Tor? Анонимность запросов к ресурсам сети не отменяет tcp/ip. А https-протокол устроен так, что для подтверждения сертификата действуют "левые" подключения. В сети Tor могут быть свои проблемы, о которых пользователь пока не знает.
Теперь начинаю припоминать. Обычно я оставляю не запрашиваемые соединения на SYN_SENT. Неделю-полторы назад заблочил ip-шник начинавшийся со 195.x.x.x По случайному стечению обстоятельств ip следующего нужного сайта тоже начинался со 195.x.x.x Когда он не открылся, я решил, что заблочил его по ошибке. После перезагрузки браузера всё заработало. И работало, пока Комод не стал тупить всё подряд.
Самое интересное. Общепризнанно и несколько раз подтверждено, что при дуалбуте переустановкой Винды сносит grub/grub2. Но не в этот раз! Т.к. я регулярно Винду переустанавливаю в плане профилактики, то с появлением проблем решил не тянуть. После переустановки с удивлением обнаружил, что grub2 на месте. Отличие от прежних переустановок состоит в том, что сейчас подключена графическая морда grub2(GRUB_THEME). Это у меня так затроянены загрузочные сектора?
Я обещаю в грядущем, 2014-ом, году, более не пользоваться оффтопиком. Я обещаю больше не заниматься ерундой. У меня будет стоять только система с открытым исходным кодом. И я больше не будут писать тупак на этот форум.
Вы про OCSP[link22]? Точно не помню, но в торбраузере это м.б. даже отключено, т.к. штука малополезная. Это просто костыль, потому что системное хранилище поставщиков сертификатов редко обновляется. Хотя, возможно ошибаюсь, все эти технологии с доверенными поставщиками сертификатов — сплошной костыль на костыле.
Опять же, почему то думал, что в TBB своё хранилище сертификатов, отличающееся от системного, но не нашёл его там. Если у кого есть сведения по этому вопросу, можно создать отдельную тему.
Несовсем, видимо. Я находил объяснение этим пяти страницам темы в одной обзорной статейке. Не смог найти документов и саму статейку потерял :) Как понял, смысл в том, что "левые" соединения нужны для подтверждения соединения. Но, наблюдая за тем, как меняются ip-шники, возникает подозрение, что это просто отмазка для обхода блэклистов. История с 195.12.232.155 только подтверждает опасения тыц[link23] тыц[link24] тыц[link25] тыц[link26] тыц[link27]
Опасения по поводу того, что StartCom действительно пользуется услугами Akamai? ☺
э-э… тыц[link25]
Не знаю, как эта атака по-научному называется. Назову её ХХХ (3Ха), хотя всё-равно двусмысленно выглядит :)
В продолжение к
Аварийный диск Комода подтвердил модификацию загрузочной стадии Винды.
Abnormal System Settings
1. Modified WinLogon
2. Disabled Security Tab
Первый пункт восстановлен. Второй пункт – файлед. Я не врубаюсь какой такой ‘Security Tab’ дисаблед и где его енаблить? Интернет страшной тайны не выдал.
Путей, через которые мою систему ломанули на самом деле не много – всего один. Последняя переустановка Винды пару месяцев назад закончилась сносом grub2, как положено. С того момента я не устанавливал новых программ, не смотрел флэш/видео, по злачным местам интернета не шарюсь вообще, не подключал чужие флэшки и т.п. Остаются только "левые" подключения через браузер во время загрузки вэб-страниц. При этом
политика… короче, максимальное количество не нужных соединений оставляю в ручном режиме на SYN_SENT (без блэклистов).Pdf’ки, появившиеся за это время, ещё требуют проверки. В браузере их не открываю, а скачиваю и запускаю отдельно. Инфицирование через них мало вероятно. Не было прецедента, чтобы Комод отреагировал сообщением о запуске нового процесса, создании нового файла или обращении к системным файлам. Да и в настройках минимум функционала. А самое главное – зловред из pdf’ки не будет вписывать в настройки Комода для браузера новый пункт с подробными комментариями! Вообще, я не представляю взломщика, который будет утруждать себя комментариями. Но, если пофантазировать, в этом есть своя "логика" – со стороны будет казаться, что изменения в настройки вносил сам владелец. Другой вариант – кто-то через *расширенный удаленный рабочий стол* пользуется моей системой с тем же комфортом, что и я. Теоретически, такое возможно, но не подтверждается количеством трафика.
тестерТьюринга, но вы ведь обещали[link28]! Как так?! В новом году всего 2 дня прошло. У вас не загрузился Debian Linux?
Гость (02/01/2014 17:37), вы напрасно скрываете свои паспортные данные – теряюсь в догадках, кому отправить чугунный новогодний колобок с хвостиком во лбу и Почетной грамотой.
тестерТьюринга, поищите под ёлкой в обёртке, там подарочный 7.3.0 должен быть. Он свежий.
Дед_Морозу по пенсионному скидка. Два колобка с сыпучей начинкой, если доедут.
«CSEC used airport Wi-Fi to track Canadian travellers: Edward Snowden documents»[link31].