Студент.
В рамках моей работы по выявлению ботов на форуме я натолкнулся на след. топик. Благодоря обращению одного из пользователей с жалобой на рекламу наркошопа.
Заглянув в тему я обнаружил следущее ссодержимое:
Далее я пошел искать по форуму в поисках похожих закладок, и какого же было мое удивление когда я обнаружил:
dolyavora
MrBang - Анализ стиля написания постов явно указывает на то что за псевдонимом MrBang скрывается студент aka RedTeam
В Яндекс Cloud можно просмотреть логи доступа к CDN, которые содержат информацию о запросах, включая IP-адреса пользователей. Эти логи хранятся в формате JSON и дают вам возможность анализировать трафик.
Покапавшись с документацией CDN мне удалось выявить след.
Логи содержат следующую информацию:
Допустим, мы следим за конкретным пользователем, создаем тему в соответтвующем разделе, а в тело вкладываем картинку на удаленный хост как это делал студент под псевданимами.
По времени оставленного комментария в теме с закладкой можо сопоставить никнеейм с ип адресом и юзерагентом из логов сервера получаем:
Что позволят проводить профилирование. Ну и вероятно запрашивать инфу о пользователях например у впн сервисов или провайдерах.
В качестве подтверждения поделюсь с вами частью лога из одного из моих вложений:
В рамках моей работы по выявлению ботов на форуме я натолкнулся на след. топик. Благодоря обращению одного из пользователей с жалобой на рекламу наркошопа.
Заглянув в тему я обнаружил следущее ссодержимое:
Код:
aisdata
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/143037/
... src="https://iili.io/KFnzpwX.gif" data-url="https://iili.io/KFnzpwX.gif" ...dolyavora
Код:
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/145459/page-2#post-1032541
<img src="https://nztcdn.com/files/9999c739-d6f8-4123-a1cb-7afeb792f2ad.webp" data-url="https://nztcdn.com/files/9999c739-d6f8-4123-a1cb-7afeb792f2ad.webp" class="bbImage " loading="lazy" alt="[IMG]" title="[IMG]" style="" width="" height="">
Код:
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/145523/
<img src="https://masterpiecer-images.s3.yandex.net/e08a363a75b511eebd3092669a1675b3:upscaled" data-url="https://masterpiecer-images.s3.yandex.net/e08a363a75b511eebd3092669a1675b3:upscaled" class="bbImage" data-zoom-target="1" style="width: 306px" alt="e08a363a75b511eebd3092669a1675b3:upscaled" title="" width="" height="" loading="lazy">Покапавшись с документацией CDN мне удалось выявить след.
Логи содержат следующую информацию:
Код:
resource_id: Идентификатор ресурса клиента.
timestamp_ms: Время события по UTC.
bytes_sent: Количество байт, отправленных клиенту.
request_uri: Полный оригинальный URI запроса.
status: Код ответа сервера.
user_agent: Браузер клиента.
remote_addr: IP-адрес клиента (это то, что вам нужно).
request_id: Внутренний идентификатор запроса.Допустим, мы следим за конкретным пользователем, создаем тему в соответтвующем разделе, а в тело вкладываем картинку на удаленный хост как это делал студент под псевданимами.
По времени оставленного комментария в теме с закладкой можо сопоставить никнеейм с ип адресом и юзерагентом из логов сервера получаем:
Код:
К нику, ip + user agent + request_uri + timestampВ качестве подтверждения поделюсь с вами частью лога из одного из моих вложений:
Код:
54.85.32.163 - - [26/Jan/2026:09:03:56 +0000] "HEAD /OIP-3481158583.jpeg HTTP/1.1" 200 3298 "-" "help@dataminr.com"
18.206.47.158 - - [26/Jan/2026:09:03:56 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"
54.85.32.163 - - [26/Jan/2026:09:03:56 +0000] "HEAD /OIP-3481158583.jpeg HTTP/1.1" 200 3298 "-" "help@dataminr.com"
34.234.20.176 - - [26/Jan/2026:09:03:59 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"
54.85.32.163 - - [26/Jan/2026:09:03:59 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"
54.172.225.176 - - [26/Jan/2026:09:03:59 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-requests/2.32.3"
54.83.9.180 - - [26/Jan/2026:09:04:00 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-requests/2.32.3"
54.85.32.163 - - [26/Jan/2026:09:04:00 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-requests/2.32.3"
34.234.20.176 - - [26/Jan/2026:09:04:00 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-requests/2.32.3"
54.85.32.163 - - [26/Jan/2026:09:04:00 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-requests/2.32.3"
54.83.9.180 - - [26/Jan/2026:09:04:13 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"
34.234.20.176 - - [26/Jan/2026:09:04:13 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"
18.206.47.158 - - [26/Jan/2026:09:04:13 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"
34.234.20.176 - - [26/Jan/2026:09:04:13 +0000] "GET /OIP-3481158583.jpeg HTTP/1.1" 200 26225 "-" "python-httpx/0.28.1"Полный анализ ситуации по работе подобных групп и аккаунтов, а так-же решение по сохранению функциональности и обеспечению доп безопасносьти я опубликую в будущем топике, надеюсь уже в месте с его интеграцией в форум. А пока пользуйтесь тором в рамках вашей связки.
Последнее редактирование: