Sherlock

Как пробить сайт, домен или IP: пошаговая инструкция

Гайды

Пробить сайт означает собрать о нём максимум публично доступной информации: кто владеет доменом, где хостится, какова его история, кто стоит за проектом. Это стандартная практика при проверке контрагента, расследовании мошенничества или анализе инфраструктуры. Ниже — полная пошаговая инструкция.

Шаг 1. WHOIS — регистрационные данные домена

WHOIS — первый шаг при любой проверке домена. Запрос отдаёт данные регистрации: кто зарегистрировал домен, когда и через какого регистратора.

Инструменты:

  • nic.ru — для российских доменов .ru и .рф.
  • reg.ru — поиск по WHOIS с удобным интерфейсом.
  • whois.domaintools.com — международный агрегатор с историей изменений.
  • who.is — простой глобальный WHOIS.

Что покажет для юридического лица: название организации, контактный email, телефон (если не скрыт).

Что покажет для физлиц: в российской зоне данные физлиц закрыты с 2014 года — отображается только регистратор и даты. Для зарубежных доменов (.com, .org) данные часто скрыты через сервисы приватности типа WhoisGuard.

Что искать в датах: домен, зарегистрированный неделю назад, заявляющий о «10 годах на рынке» — явное несоответствие.

Шаг 2. DNS-история и связанная инфраструктура

Текущий IP-адрес сайта — только часть картины. Историческая DNS-запись показывает, где сайт размещался раньше.

ViewDNS.info — бесплатный сервис с историей DNS: можно узнать, с какими IP-адресами был связан домен, и найти другие домены на том же IP.

SecurityTrails — более подробная история DNS, включая поддомены и MX-записи. Часть функций бесплатна.

Reverse IP lookup: если несколько мошеннических сайтов размещены на одном IP — через ViewDNS можно найти их все.

Шаг 3. SSL-сертификат

SSL-сертификат (https) содержит информацию об организации, которой он выдан. Это особенно ценно для корпоративных сайтов:

  • Нажмите на замок в адресной строке браузера → «Сертификат».
  • Поле «Кому выдан» (CommonName, Organization) может содержать название компании.
  • Дата выдачи сертификата иногда расходится с заявленной историей сайта.

crt.sh — публичный лог центров сертификации. Поиск по домену выдаёт все SSL-сертификаты, когда-либо выданные на этот домен, включая поддомены. Нередко это раскрывает скрытые поддомены и альтернативные адреса.

Шаг 4. Shodan и Censys — открытые сканеры

Shodan (shodan.io) и Censys (censys.io) — поисковики по подключённым к интернету устройствам. По IP-адресу они показывают:

  • Открытые порты и запущенные сервисы.
  • Используемое серверное ПО и версии.
  • Исторические данные о хосте.
  • Другие домены, указывающие на тот же IP.

Для базовых запросов Shodan предоставляет бесплатный доступ. Пробить сайт через Shodan особенно полезно при оценке защищённости инфраструктуры.

Шаг 5. Веб-архив — история сайта

Wayback Machine (web.archive.org) хранит снимки сайтов с 1996 года. Это бесценный источник при расследовании:

  • Как выглядел сайт раньше — другие названия, контакты, сотрудники.
  • Публикации, которые были удалены.
  • Реальная дата появления контента — если сайт утверждает, что работает с 2010 года, но в архиве первые снимки датированы 2024-м.

Для российских сайтов также работает CachedView и Яндекс.Кэш.

Шаг 6. Поиск в открытых источниках

Поисковые операторы: site:domain.ru выдаёт все проиндексированные страницы. "domain.ru" отзывы мошенники — жалобы на сайт.

Социальные сети: поиск домена в ВКонтакте и Telegram нередко находит официальные или неофициальные обсуждения сервиса.

Исходный код: в HTML-коде сайта (Ctrl+U) нередко содержатся ID счётчиков аналитики (Google Analytics, Яндекс.Метрика). Один и тот же ID метрики на нескольких сайтах указывает на общего владельца.

Подробнее об инструментах для проверки онлайн-следов в Sherlock.

Что пробить сайт не позволяет

  • Личные данные владельца, если он использует защиту приватности WHOIS.
  • Содержимое закрытых разделов и административных панелей.
  • Данные о клиентах или пользователях сервиса.

Краткий чеклист

  • WHOIS — регистратор, даты, контакты.
  • ViewDNS — история IP и связанные домены.
  • crt.sh — SSL-сертификаты и поддомены.
  • Shodan — открытые порты и сервисы.
  • web.archive.org — история сайта.
  • Поисковые операторы — индексация и репутация.

Как связать сайт с реальным юридическим лицом

Технические данные домена — только часть картины. Следующий шаг — привязать сайт к конкретной организации.

ЕГРЮЛ (egrul.nalog.ru): если в WHOIS или на странице «О компании» указан ИНН, ищите его в ЕГРЮЛ. Вы получите полный юридический адрес, список учредителей, дату регистрации и статус. Компания, зарегистрированная три недели назад, заявляющая о «многолетнем опыте» — очевидное несоответствие.

ИНН на сайте: добросовестные магазины обязаны публиковать реквизиты продавца по Закону о защите прав потребителей. Если ИНН отсутствует или не совпадает с названием магазина — это красный флаг.

Яндекс.Метрика и Google Analytics: ID счётчика в исходном коде страницы (обычно вида UA-XXXXXXX или G-XXXXXXX) — уникальный идентификатор. Поисковый запрос по этому ID нередко находит все сайты одного владельца: если мошеннический магазин использует тот же счётчик, что и другие известные вам проекты — это прямое доказательство общего владельца.

Пикселы рекламных систем: аналогично работает ID пикселя ВКонтакте или Яндекс.Директа в коде — уникален на уровне рекламного аккаунта.

Оценка репутации через независимые ресурсы

После технического анализа проверьте репутацию по отзывам:

  • Отзовик (otzovik.com) и IRecommend (irecommend.ru) — крупнейшие российские площадки потребительских отзывов. Отсутствие упоминаний у «давно работающего» магазина подозрительно.
  • СБИС (sbis.ru) и Rusprofile (rusprofile.ru) — бесплатные агрегаторы данных о юрлицах с краткой аналитикой по налоговым задолженностям и судебным делам.
  • Роскомнадзор (rkn.gov.ru): проверьте, не заблокирован ли домен или IP-адрес в реестре запрещённых ресурсов.
  • ФССП (fssp.gov.ru): долги компании в исполнительном производстве — сигнал финансовых проблем.

Типичные признаки мошеннического или ненадёжного сайта

Собирая данные по шагам выше, обращайте внимание на совокупность признаков:

ПризнакЧто это означает
Домен моложе 1 года при заявлении о «многолетней работе»Несоответствие истории
WHOIS с privacy protection + отсутствие ИНН на сайтеАнонимизация владельца
Тот же IP у нескольких похожих «магазинов»Возможная аффилированность
SSL только базового уровня (DV), без данных организацииНе подтверждает юрлицо
Отсутствие в ЕГРЮЛ при заявленном статусе ОООФиктивные реквизиты
Долги в ФССП или проигранные арбитражные дела на крупные суммыФинансовый риск

Ни один отдельный признак не является приговором, но совпадение трёх и более — веский повод отказаться от сотрудничества.

Откройте бота Sherlock в Telegram и пробейте сайт или домен через открытые источники — WHOIS, DNS и история одним запросом.

Частые вопросы

Как бесплатно проверить владельца домена?
WHOIS-запрос через nic.ru, reg.ru или whois.domaintools.com. Для российских доменов данные физлиц скрыты, но организации нередко указывают юрлицо. Дополнительно — поиск по IP через сервис Shodan или Censys.
Как узнать, кто реально стоит за анонимным сайтом?
Через анализ WHOIS, DNS-истории, SSL-сертификата (CommonName может выдать организацию), веб-архива, ссылок на соцсети и контакты в исходном коде. Если сайт использует защиту приватности WHOIS, помогают исторические записи через ViewDNS или SecurityTrails.
Законно ли пробивать чужой сайт через открытые инструменты?
Да. WHOIS, DNS, веб-архив и публичные сканеры (Shodan, Censys) используют только публично доступные данные. Незаконен активный взлом, SQL-инъекции, DDoS — любые действия, нарушающие работу сервиса или получающие несанкционированный доступ (ст. 272 УК РФ).

Автор: Команда Sherlock

  • пробить сайт
  • пробить домен
  • пробить ip
  • проверить домен
  • WHOIS проверка
  • анализ сайта онлайн

Проверьте данные прямо сейчас — Sherlock в Telegram

SHERLOCK защищённый канал