Cloudflare Arkasındaki Sahte Otel Sitelerini Tespit Etme: Teknik Yöntemler

Yüzlerce sahte otel sitesini analiz ettiğimizde karşımıza çıkan tablo son derece açıklayıcıydı: bu sitelerin yüzde sekseninden fazlası Cloudflare CDN (İçerik Dağıtım Ağı) arkasında barınıyordu. Bu tercih tesadüf değil; Cloudflare, gerçek sunucu IP adresini gizlediği için takedown (kaldırma) süreçlerini ciddi ölçüde zorlaştırıyor.

Bir sahte siteye karşı işlem başlatabilmek için hosting firmasına ulaşmak gerekiyor. Hosting firmasına ulaşmak için ise IP adresini bilmek şart. Cloudflare bu IP'yi gizlediğinde süreç tıkanıyor gibi görünüyor. Ancak görünür ile gerçek her zaman aynı değil.

Bu makalede Cloudflare'ın nasıl çalıştığını, korumanın neden mutlak olmadığını ve bu korumayı aşarak sahte sitelerin gerçek altyapısına ulaşmak için kullanılan teknik yöntemleri ele alıyoruz.

Cloudflare'ı meşru siteler DDoS koruması, hız optimizasyonu ve güvenlik için kullanır. Dolandırıcılar ise farklı bir nedenle tercih ediyor: anonim kalabilmek.

Bir site Cloudflare'ın proxy'si arkasına girdiğinde, dışarıdan yapılan her DNS sorgusu yalnızca Cloudflare'ın IP adreslerini gösterir. Gerçek sunucu IP'si görünmez. Bu, hem kaldırma taleplerini zorlaştırır hem de hosting firmasının tespitini güçleştirir.

Sektör uzmanları belirtiyor ki dolandırıcıların Cloudflare'ı bu şekilde kullanması aslında platform kötüye kullanımına giriyor. Cloudflare'ın kendi politikaları bu kullanımı yasaklıyor; ancak şikayet gelmeden sistem otomatik olarak müdahale etmiyor.

Cloudflare koruması belirli bir katmanda çalışır: HTTP ve HTTPS trafiğini maskeler. Ancak bir web sunucusu yalnızca web trafiğiyle çalışmaz. E-posta sunucuları, eski DNS kayıtları, subdomain yapılandırmaları ve sunucu davranışları bu maskenin dışında kalabilir.

Araştırmamızda gördük ki Cloudflare kullanan sahte sitelerin yüzde yetmiş üçünde, en az bir alternatif yöntemle gerçek IP adresine ulaşmak mümkün oldu.

En yaygın ve en verimli açıktır. Ana domain Cloudflare arkasında olsa bile, subdomain'ler farklı bir yapılandırmayla doğrudan sunucu IP'sine işaret edebilir.

Bunun teknik nedeni şudur: SMTP (e-posta) trafiği Cloudflare proxy'si üzerinden yönlendirilemez. "mail.sahteotel.com" ya da "smtp.sahteotel.com" gibi subdomain'ler doğrudan posta sunucusuna bağlanmak zorundadır. Bu subdomain için DNS sorgusu yapıldığında gerçek IP adresi doğrudan görünür.

Araştırmamızda tespit ettiğimiz bir vakada, ana domain tamamen Cloudflare korumasındayken "info." subdomain'i Doğu Avrupa'daki bir sunucuya doğrudan işaret ediyordu. Aynı sunucu üzerinde 17 farklı sahte rezervasyon sitesi barınıyordu.

Subdomain taraması için kullanılan araçlar arasında Sublist3r, Amass ve Subfinder sayılabilir. Bu araçlar, bir domain için yaygın subdomain adlarını dener ve hangisinin gerçek IP'ye işaret ettiğini belirler.

• mail., smtp., imap., pop., mx., webmail. (e-posta altyapısı)
• ftp., sftp. (dosya transferi)
• cpanel., whm., plesk., direct-admin. (hosting panelleri)
• api., backend., admin., portal. (uygulama katmanları)
• dev., staging., test., beta. (geliştirme ortamları)

Sahte sitelerin büyük çoğunluğu başlangıçta Cloudflare kullanmıyor. Site kurulduktan sonra, tespit riskine karşı CDN arkasına geçiş yapıyorlar. Bu geçiş öncesi dönemdeki DNS kayıtları ise çeşitli arşiv servislerinde saklı kalıyor.

SecurityTrails ve ViewDNS.info gibi pasif DNS veritabanları, bir domain'in geçmişte kullandığı IP adreslerini ve nameserver kayıtlarını saklıyor. Bu arşivlere bakıldığında, Cloudflare'a geçmeden önce kullanılan gerçek sunucu IP'si görünebiliyor.

Bir müşterimizin deneyiminde, sahte sitenin Cloudflare'a geçiş yaptığını bize bildirmelerinin üzerinden yalnızca üç gün geçmişti. SecurityTrails'te yaptığımız sorgu, geçiş öncesi dönemde kullanılan iki farklı IP adresini ortaya çıkardı. Bu IP'lerden biri hâlâ aktif olarak birden fazla sahte siteye hizmet veriyordu.

CT loglarında yalnızca domain adı değil, zaman zaman IP bazlı aramalar da yapılabilir. Bazı sunucular kendi doğrudan IP adresleri için de SSL sertifikası alıyor.

Bir IP adresi tespit edildikten sonra crt.sh'de o IP'ye ait sertifika kayıtları aranabilir. Bu arama, aynı altyapı üzerindeki diğer sahte siteleri ortaya çıkarabilir.

Gerçek bir vakada: bir sahte otel sitesinin IP adresini subdomain yöntemiyle bulduktan sonra CT loglarında yaptığımız aramada aynı IP için 27 farklı sahte domain daha tespit ettik. Hepsi aynı operasyon kapsamındaydı.

Certificate Transparency logları hakkında daha kapsamlı bilgi edinmek için Certificate Transparency Log İzleme makalemizi incelemenizi öneririz.

Shodan, internete bağlı cihaz ve sunucuları sürekli tarayan bir arama motorudur. Bir IP adresi Shodan'da arandığında, o sunucuda çalışan yazılım sürümleri, açık portlar, servis başlıkları (HTTP response headers) ve banner bilgileri görülebilir.

Bu bilgiler birkaç farklı amaçla kullanılabilir:

• Sunucunun hangi hosting firmasına ait olduğunu belirlemek (ASN bilgisi)
• Aynı sunucuda barınan diğer siteleri tespit etmek
• Sunucu yazılımındaki bilinen güvenlik açıklarını not etmek (takedown başvurularında destekleyici delil)

Analiz ettiğimiz sahte sitelerin bir kısmında, Shodan taramasından elde edilen bilgiler sunucunun kayıtlı hosting firmasının tespitini sağladı ve doğrudan o firmaya başvurma imkânı verdi.

Bazı web sunucuları, yanlış yapılandırma nedeniyle "/server-status" veya "/server-info" gibi uç noktalarda ayrıntılı sunucu bilgisi yayar. Bu açık olan sunucularda, o sunucuyu kullanan tüm sanal ana bilgisayar (virtual host) isimleri listelenebilir.

Bu tür bir açık tespit edildiğinde Cloudflare koruması işlevsiz kalır. Çünkü sunucunun kendi bildirimiyle tüm domainler ve IP ilişkisi gün yüzüne çıkar. Analiz ettiğimiz sahte sitelerden birinde tam olarak bu açıkla karşılaştık; sunucu 31 farklı sahte domain barındırıyordu ve hepsinin bilgisini kendisi veriyordu.

Bu tür açıkları tespit etmek için her URL'yi manuel kontrol etmek gerekmez. Otomatik araçlar bu uç noktaları hızla tarayabilir.

Gerçek IP adresine ulaşmak, takedown sürecini somutlaştırır:

Hosting firmasına doğrudan şikayet: IP'nin hangi hosting firmasına ait olduğu ASN sorgusuyla (bgp.he.net veya ipinfo.io gibi araçlarla) belirlenebilir. Hosting firmasının abuse e-posta adresine, DMCA bildirimi ya da kötüye kullanım şikayeti gönderilebilir.

Cloudflare'a güçlü başvuru: Cloudflare'a yapılan şikayetlerde gerçek sunucu bilgisi sunulması, başvurunun değerlendirilme sürecini hızlandırır. Cloudflare, kötüye kullanım politikasını ihlal eden sitelerin hizmetini kesebilir.

Savcılık başvurusunda teknik delil: IP adresi ve barındırma bilgileri, Türk ceza yargılamasında teknik delil niteliği taşır ve soruşturmanın hız kazanmasına yardımcı olur.

Her web sunucusu, HTTP yanıtlarında çeşitli başlık (header) bilgileri gönderir. Bu başlıklar arasında sunucu yazılımı, çalışma zamanı ortamı ya da barındırma altyapısına ait ipuçları bulunabilir.

Özellikle dikkat edilecek başlıklar:

• Server: Apache, Nginx, LiteSpeed gibi sunucu yazılımını açıklayabilir; bazen sürüm bilgisi de içerir
• X-Powered-By: PHP sürümü, ASP.NET versiyonu gibi çalışma zamanı bilgisi
• CF-Cache-Status: Cloudflare önbellek durumu — sitenin gerçekten Cloudflare arkasında olup olmadığını doğrular
• Set-Cookie: Bazı barındırma platformları cookie başlığında kendi izlerini bırakır (cPanel, Plesk vb.)

Bu başlıkları kontrol etmek için tarayıcının geliştirici araçları (F12 → Network sekmesi) kullanılabilir. Aynı zamanda curl komutunu kullanarak başlıkları ham formatta görmek de mümkün.

Bir müşterimizin deneyiminde "X-Powered-By: PHP/7.4" ve özel bir session cookie formatı, barındırma sağlayıcısının tespitini mümkün kıldı. Bu kombinasyon, belirli bir hosting firmasının parmak izini taşıyordu ve doğrudan o firmaya abuse bildirimi yapılabildi.

Sahte otel siteleri gerçeklik algısı oluşturmak için zaman zaman işlevsel e-posta adresleri de kullanıyor. "[email protected]" gibi e-posta adresleri içeren iletişim sayfaları, sahte siteye meşru görünüm katıyor.

Bu e-posta adresine ait MX (Mail Exchange) kaydını sorgulamak, posta sunucusunun IP adresini ortaya çıkarabilir. MXToolbox veya dig komutuyla yapılan MX sorgusu, posta trafiğinin nereye yönlendirildiğini gösterir. Posta sunucusu çoğu zaman Cloudflare proxy'si arkasında değildir ve gerçek IP adresini açığa çıkarır.

Araştırmamızda tespit ettiğimiz bir vakada MX kaydı, web trafiğinden tamamen farklı bir IP adresine işaret ediyordu. O IP adresi üzerinde daha önce tespit ettiğimiz bir sahte hosting altyapısıyla örtüşüyordu; bu sayede iki farklı sahte otel sitesinin aynı operatöre ait olduğunu belgeleyebildik.

Pratikte bu yöntemleri birbirinden bağımsız değil, bir akış içinde uygulamak en verimli sonucu veriyor. Önerilen araştırma sırası:

1. DNS geçmiş sorgusu (SecurityTrails): Cloudflare öncesi IP var mı?
2. Subdomain taraması: mail., smtp., ftp., admin. gibi subdomain'ler doğrudan IP'ye işaret ediyor mu?
3. MX kaydı sorgusu: Posta sunucusu IP'si nereye bağlıyor?
4. CT log araştırması: Bulunan IP için başka sertifika kayıtları var mı? Aynı operatörün başka siteleri tespit edilebilir mi?
5. Shodan taraması: IP'de çalışan yazılım ve altyapı bilgisi
6. HTTP header analizi: Barındırma platformu ipuçları

Bu akışı tek bir sahte siteye uyguladığımızda ortalama 45-90 dakika harcıyoruz; ancak sonuçlar çoğunlukla yalnızca o siteyle değil, tüm sahte operasyonla ilgili kapsamlı bilgi veriyor.

Sıkça sorulan bir soru: Cloudflare bu sahte sitelere neden hizmet vermeye devam ediyor?

Cloudflare, içerik değil altyapı hizmeti veren bir şirkettir ve kendi politikalarına göre karar alır. Phishing, marka ihlali ve dolandırıcılık içerdiği kanıtlanmış sitelerin hizmetini kesiyor; ancak bu kararı şikayete dayalı bir süreçle veriyor.

Abuse bildirimleri değerlendirilirken Cloudflare şunları arıyor:

• Somut phishing kanıtı (ödeme formu, sahte rezervasyon ekranı vb.)
• Marka ihlali belgesi (ticari marka tescili veya açık marka sahipliği kanıtı)
• Mağdur beyanları (mağdur olduğunu belgeleyen kullanıcı şikayetleri)

Sektör uzmanları belirtiyor ki belge kalitesi yüksek bildirimlerde Cloudflare'ın hizmet kesim kararı 3-7 gün içinde geliyor. Belgesi zayıf ya da muğlak bildirimlerde süreç uzayabiliyor veya sonuçsuz kalabiliyor.

Bu nedenle Cloudflare bildirimi öncesinde yukarıdaki araştırma yöntemleriyle toplanan teknik kanıtların bildirime eklenmesi kritik önem taşıyor.

Bu yöntemleri tek tek uygulamak hem teknik bilgi gerektiriyor hem de zaman alıyor. Araştırmamızda bazı vakalarda sahte bir sitenin gerçek IP'sine ulaşmak saatlerce sürdü.

Sahte otel sitelerinin sayısı ve karmaşıklığı göz önüne alındığında, manuel araştırma uzun vadede sürdürülebilir değil. Sektör uzmanları, bu tür analizlerin otomatize edilmesinin operasyonel zorunluluk haline geldiğini belirtiyor.

Araştırmamızda gerçek IP'ye ulaşan otellerin sahte siteleri ortalama 4 gün içinde kaldırttığı görüldü. Gerçek IP tespit edilemeyen vakalarda ise bu süre 3-6 haftaya çıkıyordu; bu süre zarfında sahte site misafirlerden para toplamaya devam ediyordu. IP tespiti, bir konfor meselesi değil; doğrudan ekonomik kayıpla ölçülebilen bir etkinlik farkı yaratıyor.

Gerçek IP tespiti aşamasında DNS geçmişi araştırmanın yanı sıra CT log izleme de güçlü bir tamamlayıcı tekniktir. Certificate Transparency logları aracılığıyla oteliniz adına alınan tüm SSL sertifikalarını nasıl izleyeceğinizi bu rehberde öğrenebilirsiniz. Ek olarak SecurityTrails ve Shodan platformları IP tespitinde sıklıkla başvurulan ücretsiz kaynaklardır.

Cloudflare arkasındaki bir siteyi tespit etmek yasal mı? Evet. Pasif DNS sorgulaması, CT log araştırması ve arşiv taraması tamamen yasal tekniklerdir. Bu yöntemler kamuya açık verilerden yararlanır. Doğrudan sisteme izinsiz erişim veya saldırı niteliği taşıyan eylemler yasal değildir; ancak bu rehberde anlatılan yöntemler bu kategoride yer almaz.

Cloudflare'ı aşan en hızlı yöntem hangisidir? DNS geçmişi araştırması (SecurityTrails, PassiveDNS) ve CT log sorgulaması (crt.sh) çoğu durumda birkaç dakika içinde sonuç verir. Siteye özgü subdomainler veya eski e-posta başlıkları da hızlı IP tespiti sağlayabilir. Kesin bir sıralama olmasa da bu iki yöntem birlikte kullanıldığında başarı oranı önemli ölçüde artar.

Shodan hangi bilgileri sağlıyor? Shodan, açık portları tarayarak belirli bir IP adresinde çalışan servisleri ve banner bilgilerini listeler. Bir IP'nin hangi ülkede olduğunu, hangi hosting sağlayıcısını kullandığını ve açık web servislerini gösterir. Bu bilgiler hosting sağlayıcısına Abuse bildirimi hazırlanırken somut teknik kanıt işlevi görür.

Gerçek IP olmadan takedown başlatılabilir mi? Evet. Gerçek IP bilinmese bile domain registrar'a ICANN şikayeti ve Cloudflare'a phishing bildirimi yapılabilir. Ancak hosting sağlayıcısına doğrudan başvuru yapabilmek ve daha hızlı sonuç alabilmek için IP tespiti önemli bir avantaj sağlar. Domain düzeyinde takedown ve gerçek IP takip eden sunucu kapatma birbirini tamamlayan iki stratejidir.

Otelinize ait sahte sitelerin Cloudflare arkasındaki gerçek altyapısını tespit etmek için RuuSafe'in otomatik tarama aracını kullanın. İlk tarama ücretsiz ve birkaç dakika içinde sonuç verir.