Получаем домены бесплатно

Получаем домены бесплатно

Привет %username%




Помнишь, я пару лет назад упоминалP о возможности воровать домены? Да-да, та старая тема, я ещё о ней рассказывал на zeronights, про забытый ns.PНедавно заметил, что эту тему (и софт к ней) стали продавать (на всяких форумах, в том числе приватных, типа bss). Как получать домены бесплатно знали ещё и до меня, и я далеко был не первооткрыватель, но тут внезапно эта тема стала платной и все начали её активно юзать. Так что этот пост будет дубликатом предыдущего, но уже более подробно. Ну и как получить домены бесплатно? Сначала объясню, как это вообще работает.


Теория


Начнём с того, как вообще устроен интернет — тыкай на картинку:


internet 150x150 Получаем домены бесплатно

Устройство интернета для самых маленьких


В двух словах. Когда в браузер пользователь вводит http://bo0om.ru, браузер идет наPсервер доменных имён, чтобы получить ip-адрес компьютера, где расположен сайт. Когда он получает этот ip, он идёт туда и пробует на нём открыть адрес сайта. Если такой сайт есть — он открывается.


А теперь смотри, чтобы домен работал, необходимо указать в панели управления доменом — адрес сервера имён (ну dns). Кто открывал хоть раз сайт — сразу поймут.


dns 300x189 Получаем домены бесплатно

Вот типа указываем dns нашего хостинга


Проходит время, а его хостинг заканчивается. Проект пользователю стал неинтересен. А может он вообще передумал заводить сайт. В общем — суть. Dns на хостинг указаны, а сайта на нём нет. Что это значит? А это значит, что любой желающий может зарегистрироваться на хостинге и добавить его домен.


 


Практика


Я брал список сайтов c ns-адресом моего хостинга, простым скриптом проверял, отвечают ли они вообще, если нетP- то добавлял в личном кабинете хостера. Все просто.


 


Списки доменов можно брать с разных источников, тот же 1stat.ru (немного устарел, а вот два года назад был весьма актуальный).


1stat 300x139 Получаем домены бесплатно

Выгружаем список сайтов хостера jino


Отличный источник — yougetsignal.com (там есть «Domain List» или можно использовать API). А можно просто искать сайты на одном ip и проверять их работоспособность.


 


Использование


Ну во-первых, вы становитесь якобы полноправным пользователем сайта. Можно например, подтвердить владение в различных сервисах, если сайт был какой-то компании, подтвердить её на почтовике, завладеть почтой и прочитать старые письма


pochta 300x128 Получаем домены бесплатно

Подтверждаем домен любым способом


Второе — тырим пузомерки. Выбираем сайт с высоким показателем ТиЦ и PR, я использовал этот крутяцкий сервис — http://pr-ic.ru/ticpr/

Берём домен, создаём в корне файл .htaccess с содержимым


Options +FollowSymLinks

RewriteEngine on

RewriteCond %{REQUEST_FILENAME} robots.txt$ [NC]

RewriteRule ^([^/]+) $1 [L]

RewriteCond %{HTTP_HOST} ^site.com

RewriteRule ^(.*)$ http://site.org/$1 [R=301,L]

RewriteCond %{HTTP_HOST} ^www.site.com

RewriteRule ^(.*)$ http://site.org/$1 [R=301,L]


В robots.txt желательно прописать

User-agent: *

Host: site.org

Sitemap: http://site.org/sitemap.xml


Ждём. Через некоторое время пузомерки переместятся на ваш сайт.

Вот пример моего эксперимента:


pr cy 300x117 Получаем домены бесплатно

Эксперимент по передаче ТиЦ и PR


Третье и все остальные — что пожелает фантазия.


Дорвейщики ставят дорвеи, мошенники — фейки и все такое прочее. Можно, например, сгенерировать ssl сертификат, если ты точно знаешь, что сайт скоро вернут. Благодаря валидному ssl сертификату можно активно юзать MITM атаки.


Исправляем


А никак не исправляем. 13 из 15 хостингов уязвимы к подобным видам атаки. Законно ли это? Нет. И думаю даже на пачку статей (мошенничество и неправомерный доступ, например). Пользователь сам смотрит за своими доменами, поэтому если ты не используешь домен в своем проекте…


delegirovanie Получаем домены бесплатно


 


Получаем домены бесплатно данный пост отсюда: Bo0oM.ru


S
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.