Komentarze do notki: Niemcy manipulują stroną z dowodami zbrodni w JEDWABNEM

@AutorProszę się nie sugerować tym co pokazuje RIPE.

Sprawdzenie rekordów NS:

$ host -t NS bialystok.ap.gov.pl
bialystok.ap.gov.pl name server ns2.nets.com.pl.
bialystok.ap.gov.pl name server ns1.nets.com.pl.

$ host -t NS ap.gov.pl
ap.gov.pl name server e-dns.pl.
ap.gov.pl name server d-dns.pl.
ap.gov.pl name server f-dns.pl.
ap.gov.pl name server g-dns.pl.
ap.gov.pl name server a-dns.pl.
ap.gov.pl name server c-dns.pl.

$ host -t NS gov.pl
gov.pl name server d-dns.pl.
gov.pl name server f-dns.pl.
gov.pl name server c-dns.pl.
gov.pl name server e-dns.pl.
gov.pl name server g-dns.pl.
gov.pl name server a-dns.pl.

Jak widać name service ap.gov.pl jest serwowany z tych samych serwerów co gov.pl.

$ host -t A www.bialystok.ap.gov.pl
www.bialystok.ap.gov.pl has address 46.170.85.238

$ host -t A bialystok.ap.gov.pl
bialystok.ap.gov.pl has address 46.170.85.238

$ host bialystok.ap.gov.pl
bialystok.ap.gov.pl has address 46.170.85.238
bialystok.ap.gov.pl mail is handled by 0 alfa.nets.com.pl.

Jak widać rekordy A dla www.bialystok.ap.gov.pl i bialystok.ap.gov.pl są te same.

Sprawdzenie gdzie to jest:

$ traceroute 46.170.85.238
traceroute to 46.170.85.238 (46.170.85.238), 30 hops max, 60 byte packets
[..]
6 bialy-r1.tpnet.pl (194.204.175.30) 28.050 ms * 26.490 ms
7 bialy-ru1.tpnet.pl (80.49.0.126) 17.908 ms 23.383 ms 20.630 ms
8 oth233.internetdsl.tpnet.pl (46.170.85.233) 27.552 ms 29.525 ms 28.252 ms
9 mx.nets.com.pl (46.170.85.238) 30.334 ms 32.069 ms 31.036 ms

Patrząc po topologii połączeń serwer http znajduje się w Polsce.

Tylko początek z pobrania strony głównej zgodnie z HTTP/1.0 żeby sprawdzić co to za serwer HTTP.

$ telnet bialystok.ap.gov.pl 80
Trying 46.170.85.238...
Connected to bialystok.ap.gov.pl.
Escape character is '^]'.
get / HTTP/1.0

HTTP/1.1 200 OK
Date: Sat, 13 Jul 2013 23:52:09 GMT
Server: Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/1.0.1e DAV/2 PHP/5.4.16
X-Powered-By: PHP/5.4.16
Set-Cookie: CAKEPHP=30t2r9bul4oa6k2vf2hjfkdpt4; expires=Mon, 22-Jul-2013 07:52:10 GMT; path=/
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Connection: close
Content-Type: text/html

Niemal pewne że jest to serwowane z Linuxa. Reszta danych identyfikująca typ serwera jest jawna i widoczna powyżej.

Podsumowanie:
- serwer jest w Polsce na IP należącym do AS-a TP sa,

$ whois 46.170.85.238
[Wysyłam zapytanie do whois.arin.net]
[Nastąpiło przekierowanie do whois.ripe.net:43]
[Wysyłam zapytanie do whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '46.170.85.232 - 46.170.85.239'

% Abuse contact for '46.170.85.232 - 46.170.85.239' is 'cert.pl@orange.com'

inetnum: 46.170.85.232 - 46.170.85.239
netname: CUSTOMER-IDSL-222156
descr: static IP
descr: BIALYSTOK
descr: POLAND
country: PL
admin-c: TPHT
tech-c: TPHT
status: ASSIGNED PA
mnt-by: TPNET
source: RIPE # Filtered

role: TP S.A. Hostmaster
address: Telekomunikacja Polska S.A.
address: ul. Nowogrodzka 47A
address: 00-695 Warszawa
address: Poland
phone: +48 800 120810
phone: +48 801 600006
phone: +48 22 5039000
fax-no: +48 22 6225182
org: ORG-PT1-RIPE
admin-c: JS1838-RIPE
admin-c: EHD2-RIPE
tech-c: KP21-RIPE
tech-c: JK7642-RIPE
nic-hdl: TPHT
mnt-by: TPNET
abuse-mailbox: cert.pl@orange.com
address: hostmaster@tpnet.pl 20130506
source: RIPE # Filtered

% Information related to '46.170.0.0/15AS5617'

route: 46.170.0.0/15
descr: TPNET
descr: for abuse: abuse@tpnet.pl
origin: AS5617
mnt-by: AS5617-MNT
source: RIPE # Filtered


Można by podzwonić używając powyższych telefonów żeby dojść do admina tego serwera.

- name service jest też w Polsce
- Apache 2.2.24 to nie jest ostatnia wersja ale Apache ale o ile nie jest tam w użytku mod_proxy to nie powinno być tu żadnej dziury (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4558),
- PHP też nie jest up-to-date ale też raczej nie ma tu jakiś większych problemów,
- używanie DAV może sugerować że kontent jest wgrywany poprzez regularny serwer, a nie poprzez załadowanie wprost do zawartości odpowiedniego katalogu po stronie serwera http. Zapewne można by spróbować znaleźć stronę administracyjną poprzez którą webmaster zarządza zawartością.
- nie przyglądałem się temu czy rzeczywiście serwowane zasoby mają jakieś "wrzutki".

@ZEZIK jeszcze tylko SOA$ host -t SOA bialystok.ap.gov.pl
bialystok.ap.gov.pl has SOA record alfa.rsi.com.pl. hostmaster.nets.com.pl. 2011012701 10800 3600 3600000 86400

Jak widać zawartość rekordu SOA sugeruje że ostatnia zmiana w DNS była 2011/01/27.
Raczej nikt tu nic nie zmieniał ostatnio.

Właśnie znalazłem że ten serwer http był z tym samym IP w 27-Jul-2011 (dwa lata temu):

http://toolbar.netcraft.com/site_report?url=http://bialystok.ap.gov.pl

Czyli SOA pokrywa się z zawartością skanów robionych przez Netcraft