Is Wikileaks Under Russian Influence?

So, this tweet has been making the rounds.

Patrick seems to be making the argument that Wikileaks is running on Russian servers, and that this indicates Russian influence over Wikileaks. I'll take a look at each of these points.

Abstract

Analysis of DNS and whois data for wikileaks.org and subdomains reveals multiple servers hosted in Russia with a company called Hostkey. One of these servers lists contact data in Amsterdam, despite the server (and the company's headquarters) being located in Moscow. Hostkey's suspected and confirmed connections to FSB, the Russian hacker community, and Russian surveillance technology firms are concerning given that there is reason to suspect that Wikileaks' SSL connections are terminating in Moscow, thus providing the Russians with a cleartext copy of the private key.

Wikileaks Server Identification

I'm going to track down individual server IP addresses using the dig command. The domains traced in the image are:

  • wikileaks.org
  • ns1.wikileaks.org
  • ns2.wikileaks.org
  • ns3.wikileaks.org
  • ns4.wikileaks.org
  • mx.wikileaks.org

Let's check each of these in turn.

wikileaks.org

dig wikileaks.org
                         
; <<>> DiG 9.11.1 <<>> wikileaks.org              
;; global options: +cmd                  
;; Got answer:                    
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38705          
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1
                         
;; OPT PSEUDOSECTION:                    
; EDNS: version: 0, flags:; udp: 1280            
;; QUESTION SECTION:                    
;wikileaks.org.     IN A                
                         
;; ANSWER SECTION:                    
wikileaks.org.   301 IN A 195.35.109.53              
wikileaks.org.   301 IN A 95.211.113.131              
wikileaks.org.   301 IN A 195.35.109.44              
wikileaks.org.   301 IN A 95.211.113.154              
wikileaks.org.   301 IN A 141.105.69.239              
                         
;; Query time: 8 msec                
;; SERVER: 192.168.8.1#53(192.168.8.1)                    
;; WHEN: Wed May 3 01:50:43 PDT 2017          
;; MSG SIZE rcvd: 122                
                         

ns1.wikileaks.org

dig ns1.wikileaks.org
                         
; <<>> DiG 9.11.1 <<>> ns1.wikileaks.org              
;; global options: +cmd                  
;; Got answer:                    
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4671          
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
                         
;; OPT PSEUDOSECTION:                    
; EDNS: version: 0, flags:; udp: 512            
;; QUESTION SECTION:                    
;ns1.wikileaks.org.   IN A                  
                         
;; ANSWER SECTION:                    
ns1.wikileaks.org. 299 IN A 46.28.206.81                
                         
;; Query time: 188 msec                
;; SERVER: 192.168.8.1#53(192.168.8.1)                    
;; WHEN: Wed May 3 01:55:46 PDT 2017          
;; MSG SIZE rcvd: 62                
                         

ns2.wikileaks.org

dig ns2.wikileaks.org
                         
; <<>> DiG 9.11.1 <<>> ns2.wikileaks.org              
;; global options: +cmd                  
;; Got answer:                    
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5738          
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
                         
;; OPT PSEUDOSECTION:                    
; EDNS: version: 0, flags:; udp: 1280            
;; QUESTION SECTION:                    
;ns2.wikileaks.org.   IN A                  
                         
;; ANSWER SECTION:                    
ns2.wikileaks.org. 211 IN A 46.28.206.82                
                         
;; Query time: 8 msec                
;; SERVER: 192.168.8.1#53(192.168.8.1)                    
;; WHEN: Wed May 3 01:57:16 PDT 2017          
;; MSG SIZE rcvd: 62                
                         

ns3.wikileaks.org

dig ns3.wikileaks.org
                         
; <<>> DiG 9.11.1 <<>> ns3.wikileaks.org              
;; global options: +cmd                  
;; Got answer:                    
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17041          
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
                         
;; OPT PSEUDOSECTION:                    
; EDNS: version: 0, flags:; udp: 1280            
;; QUESTION SECTION:                    
;ns3.wikileaks.org.   IN A                  
                         
;; ANSWER SECTION:                    
ns3.wikileaks.org. 138 IN A 195.35.109.54                
ns3.wikileaks.org. 138 IN A 95.211.113.132                
ns3.wikileaks.org. 138 IN A 141.105.65.114                
                         
;; Query time: 74 msec                
;; SERVER: 192.168.8.1#53(192.168.8.1)                    
;; WHEN: Wed May 3 01:58:29 PDT 2017          
;; MSG SIZE rcvd: 94                
                         

ns4.wikileaks.org

dig ns4.wikileaks.org
                         
; <<>> DiG 9.11.1 <<>> ns4.wikileaks.org              
;; global options: +cmd                  
;; Got answer:                    
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11428          
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
                         
;; OPT PSEUDOSECTION:                    
; EDNS: version: 0, flags:; udp: 1280            
;; QUESTION SECTION:                    
;ns4.wikileaks.org.   IN A                  
                         
;; ANSWER SECTION:                    
ns4.wikileaks.org. 64 IN A 31.192.105.18                
ns4.wikileaks.org. 64 IN A 95.211.113.155                
ns4.wikileaks.org. 64 IN A 195.35.109.46                
                         
;; Query time: 11 msec                
;; SERVER: 192.168.8.1#53(192.168.8.1)                    
;; WHEN: Wed May 3 01:59:42 PDT 2017          
;; MSG SIZE rcvd: 94                
                         

mx.wikileaks.org

dig mx.wikileaks.org
                         
; <<>> DiG 9.11.1 <<>> mx.wikileaks.org              
;; global options: +cmd                  
;; Got answer:                    
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19963          
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
                         
;; OPT PSEUDOSECTION:                    
; EDNS: version: 0, flags:; udp: 512            
;; QUESTION SECTION:                    
;mx.wikileaks.org.   IN A                  
                         
;; ANSWER SECTION:                    
mx.wikileaks.org. 299 IN A 195.35.109.60                
                         
;; Query time: 180 msec                
;; SERVER: 192.168.8.1#53(192.168.8.1)                    
;; WHEN: Wed May 3 02:00:38 PDT 2017          
;; MSG SIZE rcvd: 61                
                         

IP Addresses Found

wikileaks.org

  • NS ns1.wikileaks.org
    • A 46.28.206.82
      whois 46.28.206.82
      
      % This is the RIPE Database query service.            
      % The objects are in RPSL format.              
      %                          
      % The RIPE Database is subject to Terms and Conditions.        
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                                 
      % Note: this output has been filtered.              
      % To receive output for a database update, use the -B flag.    
                                 
      % Information related to '46.28.206.0 0 46.28.207.255'              
                                 
      % Abuse contact for '46.28.206.0 0 46.28.207.255' is 'abuse@solarcom.ch'          
                                 
      inetnum: 46.28.206.0 0 46.28.207.255                    
      netname: SOLARCOM-3                        
      descr: Solar Communications GMBH                    
      country: CH                        
      admin-c: SLCM1-RIPE                        
      tech-c: SLCM1-RIPE                        
      status: ASSIGNED PA                      
      mnt-by: MNT-SOLARCOM                        
      created: 2014-02-24T20:59:53Z                        
      last-modified: 2014-02-24T20:59:53Z                        
      source: RIPE                        
                                 
      role: Solar Communications GMBH                    
      address: Murtschenstrasse 30                      
      address: CH-8048 Zurich                      
      address: Switzerland                        
      admin-c: ERRI1-RIPE                        
      tech-c: ERRI1-RIPE                        
      nic-hdl: SLCM1-RIPE                        
      mnt-by: MNT-SOLARCOM                        
      abuse-mailbox: abuse@solarcom.ch                        
      created: 2011-07-28T11:26:18Z                        
      last-modified: 2014-05-22T12:08:49Z                        
      source: RIPE # Filtered                    
                                 
      % Information related to '46.28.200.0/21AS197988'                  
                                 
      route: 46.28.200.0/21                        
      descr: Solar Communications GmbH                    
      origin: AS197988                        
      mnt-by: MNT-SOLARCOM                        
      created: 2011-08-22T11:02:48Z                        
      last-modified: 2011-08-22T11:02:48Z                        
      source: RIPE                        
                                 
      % This query was served by the RIPE Database Query Service version 1.88.1 (ANGUS)
                                 
                                 
      Host
      Solar Communications, GmbH
      Host Location
      Zurich, Switzerland
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 46.28.206.82
      
      GeoIP City Edition Rev 1: CH N/A N/A N/A N/A 47.144901 8.1551 0 0
      GeoIP Location
      SW of Zurich, Switzerland
  • NS ns2.wikileaks.org
    • A 46.28.206.82 (Repeat of ns1.wikileaks.org)
      Host
      Solar Communications, GmbH
      Host Location
      Zurich, Switzerland
      GeoIP Location
      SW of Zurich, Switzerland
  • NS ns3.wikileaks.org
    • A 195.35.109.54
      whois 195.35.109.54
      
      % This is the RIPE Database query service.            
      % The objects are in RPSL format.              
      %                          
      % The RIPE Database is subject to Terms and Conditions.        
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                                 
      % Note: this output has been filtered.              
      % To receive output for a database update, use the -B flag.    
                                 
      % Information related to '195.35.109.0 0 195.35.109.255'              
                                 
      % Abuse contact for '195.35.109.0 0 195.35.109.255' is 'abuse@blixsolutions.no'          
                                 
      inetnum: 195.35.109.0 0 195.35.109.255                    
      netname: HOST1-CNET                        
      country: NO                        
      org: ORG-HOST4-RIPE                        
      admin-c: BLIX1-RIPE                        
      tech-c: BLIX1-RIPE                        
      status: ASSIGNED PI                      
      mnt-by: RIPE-NCC-END-MNT                        
      mnt-by: BLIX-MNT                        
      mnt-routes: BLIX-MNT                        
      mnt-domains: BLIX-MNT                        
      created: 2012-09-03T07:29:13Z                        
      last-modified: 2016-04-14T08:27:15Z                        
      source: RIPE # Filtered                    
      sponsoring-org: ORG-BGA22-RIPE                        
                                 
      organisation: ORG-HOST4-RIPE                        
      org-name: Host1 DA                      
      org-type: OTHER                        
      address: Sagveien 17, N-0459 Oslo, Norway                
      abuse-c: AR25154-RIPE                        
      mnt-ref: BLIX-MNT                        
      mnt-by: BLIX-MNT                        
      abuse-mailbox: abuse@host1.no                        
      created: 2011-06-16T11:44:59Z                        
      last-modified: 2014-11-17T21:01:48Z                        
      source: RIPE # Filtered                    
                                 
      role: RIPE MANAGER                      
      address: Gullhaugveien 1, N-0484 Oslo, Norway                
      admin-c: BLIX                        
      nic-hdl: BLIX1-RIPE                        
      mnt-by: BLIX-MNT                        
      abuse-mailbox: abuse@blixsolutions.no                        
      created: 2010-06-07T19:38:39Z                        
      last-modified: 2014-09-30T07:39:27Z                        
      source: RIPE # Filtered                    
                                 
      % Information related to '195.35.109.0/24AS50304'                  
                                 
      route: 195.35.109.0/24                        
      descr: HOST1-CNET                        
      origin: AS50304                        
      mnt-by: BLIX-MNT                        
      created: 2012-09-03T14:50:02Z                        
      last-modified: 2012-09-03T14:50:02Z                        
      source: RIPE                        
                                 
      % This query was served by the RIPE Database Query Service version 1.88.1 (WAGYU)
                                 
                                 
      Host
      Blix Solutions
      Host Location
      Oslo, Norway
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 195.35.109.54
      
      GeoIP City Edition Rev 1: NO N/A N/A N/A N/A 59.950001 10.75 0 0
      GeoIP Location
      Northern Oslo, Norway
    • A 95.211.113.132
      whois 95.211.113.132
      
      % This is the RIPE Database query service.                                                                
      % The objects are in RPSL format.                                                                  
      %                                                                              
      % The RIPE Database is subject to Terms and Conditions.                                                            
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                                                                          
                                                                                     
      % Note: this output has been filtered.                                                                  
      % To receive output for a database update, use the -B flag.                                                        
                                                                                     
      % Information related to '95.211.113.0 0 95.211.113.255'                                                                  
                                                                                     
      % Abuse contact for '95.211.113.0 0 95.211.113.255' is 'abuse@nl.leaseweb.com'                                                              
                                                                                     
      inetnum: 95.211.113.0 0 95.211.113.255                                                                        
      netname: LEASEWEB                                                                            
      descr: LeaseWeb Netherlands B.V.                                                                        
      remarks: Please send all abuse notifications to the following email address: abuse@nl.leaseweb.com. To ensure proper processing of your abuse notification, please visit the website www.leaseweb.com/abuse for notification requirements. All police and other government agency requests must be sent to subpoenas@nl.leaseweb.com.
      country: NL                                                                            
      admin-c: LSW1-RIPE                                                                            
      tech-c: LSW1-RIPE                                                                            
      status: ASSIGNED PA                                                                          
      mnt-by: LEASEWEB-NL-MNT                                                                            
      created: 2011-11-07T11:46:49Z                                                                            
      last-modified: 2015-09-30T22:18:11Z                                                                            
      source: RIPE                                                                            
                                                                                     
      person: RIP Mean                                                                          
      address: P.O. Box 93054                                                                        
      address: 1090BB AMSTERDAM                                                                          
      address: Netherlands                                                                            
      phone: +31 20 3162880                                                                        
      fax-no: +31 20 3162890                                                                        
      abuse-mailbox: abuse@nl.leaseweb.com                                                                            
      nic-hdl: LSW1-RIPE                                                                            
      mnt-by: LEASEWEB-NL-MNT                                                                            
      created: 2005-06-07T14:36:03Z                                                                            
      last-modified: 2017-03-30T12:29:00Z                                                                            
      source: RIPE # Filtered                                                                        
                                                                                     
      % Information related to '95.211.0.0/16AS60781'                                                                      
                                                                                     
      route: 95.211.0.0/16                                                                            
      descr: LEASEWEB                                                                            
      origin: AS60781                                                                            
      remarks: LeaseWeb                                                                            
      mnt-by: LEASEWEB-NL-MNT                                                                            
      created: 2014-03-11T14:28:00Z                                                                            
      last-modified: 2015-09-30T23:00:04Z                                                                            
      source: RIPE                                                                            
                                                                                     
      % This query was served by the RIPE Database Query Service version 1.88.1 (ANGUS)                                                    
                                                                                     
                                                                                     
      Host
      LeaseWeb
      Host Location
      Amsterdam, Netherlands
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 95.211.113.132
      
      GeoIP City Edition Rev 1: NL N/A N/A N/A N/A 52.382401 4.8995 0 0
      GeoIP Location
      Amsterdam, Netherlands
    • A 141.105.65.114
      whois 141.105.65.114
      
                                 
      #                          
      # ARIN WHOIS data and services are subject to the Terms of Use  
      # available at: https://www.arin.net/whois_tou.html                    
      #                          
      # If you see inaccuracies in the results, please report at      
      # https://www.arin.net/public/whoisinaccuracy/index.xhtml                        
      #                          
                                 
                                 
      #                          
      # The following results may also be obtained via:          
      # https://whois.arin.net/rest/nets;q=141.105.65.114?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2                        
      #                          
                                 
      NetRange: 141.0.0.0 0 141.255.255.255                    
      CIDR: 141.0.0.0/8                        
      NetName: RIPE-ERX-141                        
      NetHandle: NET-141-0-0-0-0                        
      Parent: ()                        
      NetType: Early Registrations, Maintained by RIPE NCC              
      OriginAS:                          
      Organization: RIPE Network Coordination Centre (RIPE)                
      RegDate: 1993-05-01                        
      Updated: 2009-05-18                        
      Comment: These addresses have been further assigned to users in        
      Comment: the RIPE NCC region. Contact information can be found in      
      Comment: the RIPE database at http://www.ripe.net/whois                
      Ref: https://whois.arin.net/rest/net/NET-141-0-0-0-0                        
                                 
      ResourceLink: https://apps.db.ripe.net/search/query.html                        
      ResourceLink: whois.ripe.net                        
                                 
      OrgName: RIPE Network Coordination Centre                  
      OrgId: RIPE                        
      Address: P.O. Box 10096                    
      City: Amsterdam                        
      StateProv:                          
      PostalCode: 1001EB                        
      Country: NL                        
      RegDate:                          
      Updated: 2013-07-29                        
      Ref: https://whois.arin.net/rest/org/RIPE                        
                                 
      ReferralServer: whois://whois.ripe.net                        
      ResourceLink: https://apps.db.ripe.net/search/query.html                        
                                 
      OrgAbuseHandle: ABUSE3850-ARIN                        
      OrgAbuseName: Abuse Contact                      
      OrgAbusePhone: +31205354444                        
      OrgAbuseEmail: abuse@ripe.net                        
      OrgAbuseRef: https://whois.arin.net/rest/poc/ABUSE3850-ARIN                        
                                 
      OrgTechHandle: RNO29-ARIN                        
      OrgTechName: RIPE NCC Operations                    
      OrgTechPhone: +31 20 535 4444                  
      OrgTechEmail: hostmaster@ripe.net                        
      OrgTechRef: https://whois.arin.net/rest/poc/RNO29-ARIN                        
                                 
                                 
      #                          
      # ARIN WHOIS data and services are subject to the Terms of Use  
      # available at: https://www.arin.net/whois_tou.html                    
      #                          
      # If you see inaccuracies in the results, please report at      
      # https://www.arin.net/public/whoisinaccuracy/index.xhtml                        
      #                          
                                 
                                 
                                 
      Found a referral to whois.ripe.net.                  
                                 
      % This is the RIPE Database query service.            
      % The objects are in RPSL format.              
      %                          
      % The RIPE Database is subject to Terms and Conditions.        
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                                 
      % Note: this output has been filtered.              
      % To receive output for a database update, use the -B flag.    
                                 
      % Information related to '141.105.64.0 0 141.105.71.255'              
                                 
      % Abuse contact for '141.105.64.0 0 141.105.71.255' is 'abuse@hostkey.ru'          
                                 
      inetnum: 141.105.64.0 0 141.105.71.255                    
      netname: RU-HOSTKEY-20110627                        
      country: RU                        
      org: ORG-MTL21-RIPE                        
      admin-c: PC7356-RIPE                        
      tech-c: PC7356-RIPE                        
      tech-c: PC7356-RIPE                        
      status: ALLOCATED PA                      
      mnt-by: RIPE-NCC-HM-MNT                        
      mnt-by: MTLM-MNT                        
      mnt-routes: MTLM-MNT                        
      remarks: abuse-mailbox: abuse@hostkey.ru                      
      created: 2011-06-27T08:53:56Z                        
      last-modified: 2017-03-16T11:58:57Z                        
      source: RIPE # Filtered                    
                                 
      organisation: ORG-MTL21-RIPE                        
      org-name: Mir Telematiki Ltd                    
      org-type: LIR                        
      address: Barabannii pereulok 4/4                    
      address: 107023                        
      address: Moscow                        
      address: RUSSIAN FEDERATION                      
      phone: +7 495 369 9796                  
      fax-no: +7 495 369 9796                  
      mnt-ref: MTLM-MNT                        
      mnt-ref: RIPE-NCC-HM-MNT                        
      mnt-by: RIPE-NCC-HM-MNT                        
      mnt-by: MTLM-MNT                        
      abuse-mailbox: abuse@hostkey.ru                        
      abuse-c: HA2800-RIPE                        
      created: 2010-10-06T10:46:46Z                        
      last-modified: 2017-03-16T11:51:40Z                        
      source: RIPE # Filtered                    
                                 
      person: RIPE Team                      
      address: Moscow, Russia                      
      phone: +7 495 369 97 96                
      nic-hdl: PC7356-RIPE                        
      mnt-by: MTLM-MNT                        
      abuse-mailbox: abuse@hostkey.ru                        
      created: 2008-10-19T20:57:02Z                        
      last-modified: 2017-03-16T11:54:18Z                        
      source: RIPE                        
                                 
      % Information related to '141.105.65.0/24AS49335'                  
                                 
      route: 141.105.65.0/24                        
      descr: NCONNECT-NET direct announce                    
      origin: AS49335                        
      mnt-by: MTLM-MNT                        
      created: 2013-10-01T18:20:47Z                        
      last-modified: 2013-10-01T18:20:47Z                        
      source: RIPE                        
                                 
      % This query was served by the RIPE Database Query Service version 1.88.1 (ANGUS)
                                 
                                 
      Host
      Hostkey
      Host Location
      Moscow, Russia
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 141.105.65.114
      
      GeoIP City Edition Rev 1: RU 48 Moscow City Moscow 101194 55.748501 37.618401 0 0
      GeoIP Location
      Moscow, Russia
  • NS ns4.wikileaks.org
    • A 31.192.105.18
      whois 31.192.105.18
      
      % This is the RIPE Database query service.            
      % The objects are in RPSL format.              
      %                          
      % The RIPE Database is subject to Terms and Conditions.        
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                                 
      % Note: this output has been filtered.              
      % To receive output for a database update, use the -B flag.    
                                 
      % Information related to '31.192.105.0 0 31.192.105.127'              
                                 
      % Abuse contact for '31.192.105.0 0 31.192.105.127' is 'abuse@hostkey.ru'          
                                 
      inetnum: 31.192.105.0 0 31.192.105.127                    
      netname: HOSTKEY-NET                        
      descr: Dedicated servers Hostkey.com                    
      descr: abuse-mailbox: abuse@hostkey.com                      
      country: RU                        
      admin-c: HSTK-RIPE                        
      tech-c: HSTK-RIPE                        
      status: ASSIGNED PA                      
      mnt-by: MTLM-MNT                        
      created: 2011-06-21T12:10:47Z                        
      last-modified: 2011-08-01T14:36:51Z                        
      source: RIPE                        
                                 
      person: HOSTKEY RIPE contact                    
      address: Tussen de Bogen 6, 1013 JB Amsterdam, The Netherlands        
      phone: +31 20 820 3777                  
      nic-hdl: HSTK-RIPE                        
      mnt-by: HOSTKEY-MNT                        
      created: 2011-02-16T06:22:39Z                        
      last-modified: 2015-07-22T10:11:28Z                        
      source: RIPE # Filtered                    
                                 
      % Information related to '31.192.105.0/24AS49335'                  
                                 
      route: 31.192.105.0/24                        
      descr: NCONNECT-NET direct announce                    
      origin: AS49335                        
      mnt-by: MTLM-MNT                        
      created: 2013-10-01T16:51:49Z                        
      last-modified: 2013-10-01T16:51:49Z                        
      source: RIPE                        
                                 
      % This query was served by the RIPE Database Query Service version 1.88.1 (WAGYU)
                                 
                                 
      Host
      Hostkey
      Host Location
      Amsterdam, Netherlands
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 31.192.105.18
      
      GeoIP City Edition Rev 1: RU N/A N/A N/A N/A 55.738602 37.6068 0 0
      GeoIP Location
      Moscow, Russia (False location in whois listing!)
    • A 95.211.113.155
      whois 95.211.113.155
      
      % This is the RIPE Database query service.                                                                
      % The objects are in RPSL format.                                                                  
      %                                                                              
      % The RIPE Database is subject to Terms and Conditions.                                                            
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                                                                          
                                                                                     
      % Note: this output has been filtered.                                                                  
      % To receive output for a database update, use the -B flag.                                                        
                                                                                     
      % Information related to '95.211.113.0 0 95.211.113.255'                                                                  
                                                                                     
      % Abuse contact for '95.211.113.0 0 95.211.113.255' is 'abuse@nl.leaseweb.com'                                                              
                                                                                     
      inetnum: 95.211.113.0 0 95.211.113.255                                                                        
      netname: LEASEWEB                                                                            
      descr: LeaseWeb Netherlands B.V.                                                                        
      remarks: Please send all abuse notifications to the following email address: abuse@nl.leaseweb.com. To ensure proper processing of your abuse notification, please visit the website www.leaseweb.com/abuse for notification requirements. All police and other government agency requests must be sent to subpoenas@nl.leaseweb.com.
      country: NL                                                                            
      admin-c: LSW1-RIPE                                                                            
      tech-c: LSW1-RIPE                                                                            
      status: ASSIGNED PA                                                                          
      mnt-by: LEASEWEB-NL-MNT                                                                            
      created: 2011-11-07T11:46:49Z                                                                            
      last-modified: 2015-09-30T22:18:11Z                                                                            
      source: RIPE                                                                            
                                                                                     
      person: RIP Mean                                                                          
      address: P.O. Box 93054                                                                        
      address: 1090BB AMSTERDAM                                                                          
      address: Netherlands                                                                            
      phone: +31 20 3162880                                                                        
      fax-no: +31 20 3162890                                                                        
      abuse-mailbox: abuse@nl.leaseweb.com                                                                            
      nic-hdl: LSW1-RIPE                                                                            
      mnt-by: LEASEWEB-NL-MNT                                                                            
      created: 2005-06-07T14:36:03Z                                                                            
      last-modified: 2017-03-30T12:29:00Z                                                                            
      source: RIPE # Filtered                                                                        
                                                                                     
      % Information related to '95.211.0.0/16AS60781'                                                                      
                                                                                     
      route: 95.211.0.0/16                                                                            
      descr: LEASEWEB                                                                            
      origin: AS60781                                                                            
      remarks: LeaseWeb                                                                            
      mnt-by: LEASEWEB-NL-MNT                                                                            
      created: 2014-03-11T14:28:00Z                                                                            
      last-modified: 2015-09-30T23:00:04Z                                                                            
      source: RIPE                                                                            
                                                                                     
      % This query was served by the RIPE Database Query Service version 1.88.1 (ANGUS)                                                    
                                                                                     
                                                                                     
      Host
      LeaseWeb
      Host Location
      Amsterdam, Netherlands
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 95.211.113.155
      
      GeoIP City Edition Rev 1: NL N/A N/A N/A N/A 52.382401 4.8995 0 0
      GeoIP Location
      Amsterdam, Netherlands
    • A 195.35.109.46
      whois 195.35.109.46
      
      % This is the RIPE Database query service.            
      % The objects are in RPSL format.              
      %                          
      % The RIPE Database is subject to Terms and Conditions.        
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                                 
      % Note: this output has been filtered.              
      % To receive output for a database update, use the -B flag.    
                                 
      % Information related to '195.35.109.0 0 195.35.109.255'              
                                 
      % Abuse contact for '195.35.109.0 0 195.35.109.255' is 'abuse@blixsolutions.no'          
                                 
      inetnum: 195.35.109.0 0 195.35.109.255                    
      netname: HOST1-CNET                        
      country: NO                        
      org: ORG-HOST4-RIPE                        
      admin-c: BLIX1-RIPE                        
      tech-c: BLIX1-RIPE                        
      status: ASSIGNED PI                      
      mnt-by: RIPE-NCC-END-MNT                        
      mnt-by: BLIX-MNT                        
      mnt-routes: BLIX-MNT                        
      mnt-domains: BLIX-MNT                        
      created: 2012-09-03T07:29:13Z                        
      last-modified: 2016-04-14T08:27:15Z                        
      source: RIPE # Filtered                    
      sponsoring-org: ORG-BGA22-RIPE                        
                                 
      organisation: ORG-HOST4-RIPE                        
      org-name: Host1 DA                      
      org-type: OTHER                        
      address: Sagveien 17, N-0459 Oslo, Norway                
      abuse-c: AR25154-RIPE                        
      mnt-ref: BLIX-MNT                        
      mnt-by: BLIX-MNT                        
      abuse-mailbox: abuse@host1.no                        
      created: 2011-06-16T11:44:59Z                        
      last-modified: 2014-11-17T21:01:48Z                        
      source: RIPE # Filtered                    
                                 
      role: RIPE MANAGER                      
      address: Gullhaugveien 1, N-0484 Oslo, Norway                
      admin-c: BLIX                        
      nic-hdl: BLIX1-RIPE                        
      mnt-by: BLIX-MNT                        
      abuse-mailbox: abuse@blixsolutions.no                        
      created: 2010-06-07T19:38:39Z                        
      last-modified: 2014-09-30T07:39:27Z                        
      source: RIPE # Filtered                    
                                 
      % Information related to '195.35.109.0/24AS50304'                  
                                 
      route: 195.35.109.0/24                        
      descr: HOST1-CNET                        
      origin: AS50304                        
      mnt-by: BLIX-MNT                        
      created: 2012-09-03T14:50:02Z                        
      last-modified: 2012-09-03T14:50:02Z                        
      source: RIPE                        
                                 
      % This query was served by the RIPE Database Query Service version 1.88.1 (WAGYU)
                                 
                                 
      Host
      Blix Solutions
      Host Location
      Oslo, Norway
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 195.35.109.46
      
      GeoIP City Edition Rev 1: NO N/A N/A N/A N/A 59.950001 10.75 0 0
      GeoIP Location
      Northern Oslo, Norway
  • MX mx.wikileaks.org
    • A 195.35.109.60
      whois 195.35.109.60
      
      % This is the RIPE Database query service.            
      % The objects are in RPSL format.              
      %                          
      % The RIPE Database is subject to Terms and Conditions.        
      % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                                 
      % Note: this output has been filtered.              
      % To receive output for a database update, use the -B flag.    
                                 
      % Information related to '195.35.109.0 0 195.35.109.255'              
                                 
      % Abuse contact for '195.35.109.0 0 195.35.109.255' is 'abuse@blixsolutions.no'          
                                 
      inetnum: 195.35.109.0 0 195.35.109.255                    
      netname: HOST1-CNET                        
      country: NO                        
      org: ORG-HOST4-RIPE                        
      admin-c: BLIX1-RIPE                        
      tech-c: BLIX1-RIPE                        
      status: ASSIGNED PI                      
      mnt-by: RIPE-NCC-END-MNT                        
      mnt-by: BLIX-MNT                        
      mnt-routes: BLIX-MNT                        
      mnt-domains: BLIX-MNT                        
      created: 2012-09-03T07:29:13Z                        
      last-modified: 2016-04-14T08:27:15Z                        
      source: RIPE # Filtered                    
      sponsoring-org: ORG-BGA22-RIPE                        
                                 
      organisation: ORG-HOST4-RIPE                        
      org-name: Host1 DA                      
      org-type: OTHER                        
      address: Sagveien 17, N-0459 Oslo, Norway                
      abuse-c: AR25154-RIPE                        
      mnt-ref: BLIX-MNT                        
      mnt-by: BLIX-MNT                        
      abuse-mailbox: abuse@host1.no                        
      created: 2011-06-16T11:44:59Z                        
      last-modified: 2014-11-17T21:01:48Z                        
      source: RIPE # Filtered                    
                                 
      role: RIPE MANAGER                      
      address: Gullhaugveien 1, N-0484 Oslo, Norway                
      admin-c: BLIX                        
      nic-hdl: BLIX1-RIPE                        
      mnt-by: BLIX-MNT                        
      abuse-mailbox: abuse@blixsolutions.no                        
      created: 2010-06-07T19:38:39Z                        
      last-modified: 2014-09-30T07:39:27Z                        
      source: RIPE # Filtered                    
                                 
      % Information related to '195.35.109.0/24AS50304'                  
                                 
      route: 195.35.109.0/24                        
      descr: HOST1-CNET                        
      origin: AS50304                        
      mnt-by: BLIX-MNT                        
      created: 2012-09-03T14:50:02Z                        
      last-modified: 2012-09-03T14:50:02Z                        
      source: RIPE                        
                                 
      % This query was served by the RIPE Database Query Service version 1.88.1 (BLAARKOP)
                                 
                                 
      Host
      Blix Solutions
      Host Location
      Oslo, Norway
      geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 195.35.109.60
      
      GeoIP City Edition Rev 1: NO N/A N/A N/A N/A 59.950001 10.75 0 0
      GeoIP Location
      Northern Oslo, Norway
  • A 195.35.109.53
    whois 195.35.109.53
    
    % This is the RIPE Database query service.            
    % The objects are in RPSL format.              
    %                          
    % The RIPE Database is subject to Terms and Conditions.        
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                               
    % Note: this output has been filtered.              
    % To receive output for a database update, use the -B flag.    
                               
    % Information related to '195.35.109.0 0 195.35.109.255'              
                               
    % Abuse contact for '195.35.109.0 0 195.35.109.255' is 'abuse@blixsolutions.no'          
                               
    inetnum: 195.35.109.0 0 195.35.109.255                    
    netname: HOST1-CNET                        
    country: NO                        
    org: ORG-HOST4-RIPE                        
    admin-c: BLIX1-RIPE                        
    tech-c: BLIX1-RIPE                        
    status: ASSIGNED PI                      
    mnt-by: RIPE-NCC-END-MNT                        
    mnt-by: BLIX-MNT                        
    mnt-routes: BLIX-MNT                        
    mnt-domains: BLIX-MNT                        
    created: 2012-09-03T07:29:13Z                        
    last-modified: 2016-04-14T08:27:15Z                        
    source: RIPE # Filtered                    
    sponsoring-org: ORG-BGA22-RIPE                        
                               
    organisation: ORG-HOST4-RIPE                        
    org-name: Host1 DA                      
    org-type: OTHER                        
    address: Sagveien 17, N-0459 Oslo, Norway                
    abuse-c: AR25154-RIPE                        
    mnt-ref: BLIX-MNT                        
    mnt-by: BLIX-MNT                        
    abuse-mailbox: abuse@host1.no                        
    created: 2011-06-16T11:44:59Z                        
    last-modified: 2014-11-17T21:01:48Z                        
    source: RIPE # Filtered                    
                               
    role: RIPE MANAGER                      
    address: Gullhaugveien 1, N-0484 Oslo, Norway                
    admin-c: BLIX                        
    nic-hdl: BLIX1-RIPE                        
    mnt-by: BLIX-MNT                        
    abuse-mailbox: abuse@blixsolutions.no                        
    created: 2010-06-07T19:38:39Z                        
    last-modified: 2014-09-30T07:39:27Z                        
    source: RIPE # Filtered                    
                               
    % Information related to '195.35.109.0/24AS50304'                  
                               
    route: 195.35.109.0/24                        
    descr: HOST1-CNET                        
    origin: AS50304                        
    mnt-by: BLIX-MNT                        
    created: 2012-09-03T14:50:02Z                        
    last-modified: 2012-09-03T14:50:02Z                        
    source: RIPE                        
                               
    % This query was served by the RIPE Database Query Service version 1.88.1 (BLAARKOP)
                               
                               
    Host
    Blix Solutions
    Host Location
    Oslo, Norway
    geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 195.35.109.53
    
    GeoIP City Edition Rev 1: NO N/A N/A N/A N/A 59.950001 10.75 0 0
    GeoIP Location
    Northern Oslo, Norway
  • A 95.211.113.131
    whois 95.211.113.131
    
    % This is the RIPE Database query service.                                                                
    % The objects are in RPSL format.                                                                  
    %                                                                              
    % The RIPE Database is subject to Terms and Conditions.                                                            
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf                                                                          
                                                                                   
    % Note: this output has been filtered.                                                                  
    % To receive output for a database update, use the -B flag.                                                        
                                                                                   
    % Information related to '95.211.113.0 0 95.211.113.255'                                                                  
                                                                                   
    % Abuse contact for '95.211.113.0 0 95.211.113.255' is 'abuse@nl.leaseweb.com'                                                              
                                                                                   
    inetnum: 95.211.113.0 0 95.211.113.255                                                                        
    netname: LEASEWEB                                                                            
    descr: LeaseWeb Netherlands B.V.                                                                        
    remarks: Please send all abuse notifications to the following email address: abuse@nl.leaseweb.com. To ensure proper processing of your abuse notification, please visit the website www.leaseweb.com/abuse for notification requirements. All police and other government agency requests must be sent to subpoenas@nl.leaseweb.com.
    country: NL                                                                            
    admin-c: LSW1-RIPE                                                                            
    tech-c: LSW1-RIPE                                                                            
    status: ASSIGNED PA                                                                          
    mnt-by: LEASEWEB-NL-MNT                                                                            
    created: 2011-11-07T11:46:49Z                                                                            
    last-modified: 2015-09-30T22:18:11Z                                                                            
    source: RIPE                                                                            
                                                                                   
    person: RIP Mean                                                                          
    address: P.O. Box 93054                                                                        
    address: 1090BB AMSTERDAM                                                                          
    address: Netherlands                                                                            
    phone: +31 20 3162880                                                                        
    fax-no: +31 20 3162890                                                                        
    abuse-mailbox: abuse@nl.leaseweb.com                                                                            
    nic-hdl: LSW1-RIPE                                                                            
    mnt-by: LEASEWEB-NL-MNT                                                                            
    created: 2005-06-07T14:36:03Z                                                                            
    last-modified: 2017-03-30T12:29:00Z                                                                            
    source: RIPE # Filtered                                                                        
                                                                                   
    % Information related to '95.211.0.0/16AS60781'                                                                      
                                                                                   
    route: 95.211.0.0/16                                                                            
    descr: LEASEWEB                                                                            
    origin: AS60781                                                                            
    remarks: LeaseWeb                                                                            
    mnt-by: LEASEWEB-NL-MNT                                                                            
    created: 2014-03-11T14:28:00Z                                                                            
    last-modified: 2015-09-30T23:00:04Z                                                                            
    source: RIPE                                                                            
                                                                                   
    % This query was served by the RIPE Database Query Service version 1.88.1 (BLAARKOP)                                                    
                                                                                   
                                                                                   
    Host
    LeaseWeb
    Host Location
    Amsterdam, Netherlands
    geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 95.211.113.131
    
    GeoIP City Edition Rev 1: NL N/A N/A N/A N/A 52.382401 4.8995 0 0
    GeoIP Location
    Amsterdam, Netherlands
  • A 195.35.109.44
    whois 195.35.109.44
    
    % This is the RIPE Database query service.            
    % The objects are in RPSL format.              
    %                          
    % The RIPE Database is subject to Terms and Conditions.        
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                               
    % Note: this output has been filtered.              
    % To receive output for a database update, use the -B flag.    
                               
    % Information related to '195.35.109.0 0 195.35.109.255'              
                               
    % Abuse contact for '195.35.109.0 0 195.35.109.255' is 'abuse@blixsolutions.no'          
                               
    inetnum: 195.35.109.0 0 195.35.109.255                    
    netname: HOST1-CNET                        
    country: NO                        
    org: ORG-HOST4-RIPE                        
    admin-c: BLIX1-RIPE                        
    tech-c: BLIX1-RIPE                        
    status: ASSIGNED PI                      
    mnt-by: RIPE-NCC-END-MNT                        
    mnt-by: BLIX-MNT                        
    mnt-routes: BLIX-MNT                        
    mnt-domains: BLIX-MNT                        
    created: 2012-09-03T07:29:13Z                        
    last-modified: 2016-04-14T08:27:15Z                        
    source: RIPE # Filtered                    
    sponsoring-org: ORG-BGA22-RIPE                        
                               
    organisation: ORG-HOST4-RIPE                        
    org-name: Host1 DA                      
    org-type: OTHER                        
    address: Sagveien 17, N-0459 Oslo, Norway                
    abuse-c: AR25154-RIPE                        
    mnt-ref: BLIX-MNT                        
    mnt-by: BLIX-MNT                        
    abuse-mailbox: abuse@host1.no                        
    created: 2011-06-16T11:44:59Z                        
    last-modified: 2014-11-17T21:01:48Z                        
    source: RIPE # Filtered                    
                               
    role: RIPE MANAGER                      
    address: Gullhaugveien 1, N-0484 Oslo, Norway                
    admin-c: BLIX                        
    nic-hdl: BLIX1-RIPE                        
    mnt-by: BLIX-MNT                        
    abuse-mailbox: abuse@blixsolutions.no                        
    created: 2010-06-07T19:38:39Z                        
    last-modified: 2014-09-30T07:39:27Z                        
    source: RIPE # Filtered                    
                               
    % Information related to '195.35.109.0/24AS50304'                  
                               
    route: 195.35.109.0/24                        
    descr: HOST1-CNET                        
    origin: AS50304                        
    mnt-by: BLIX-MNT                        
    created: 2012-09-03T14:50:02Z                        
    last-modified: 2012-09-03T14:50:02Z                        
    source: RIPE                        
                               
    % This query was served by the RIPE Database Query Service version 1.88.1 (ANGUS)
                               
                               
    Host
    Blix Solutions
    Host Location
    Oslo, Norway
    geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 195.35.109.44
    
    GeoIP City Edition Rev 1: NO N/A N/A N/A N/A 59.950001 10.75 0 0
    GeoIP Location
    Northern Oslo, Norway
  • A 95.211.113.154
    whois 95.211.113.154
    
    % This is the RIPE Database query service.                                                                
    % The objects are in RPSL format.                                                                  
    %                                                                              
    % The RIPE Database is subject to Terms and Conditions.                                                            
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf                                                                          
                                                                                   
    % Note: this output has been filtered.                                                                  
    % To receive output for a database update, use the -B flag.                                                        
                                                                                   
    % Information related to '95.211.113.0 0 95.211.113.255'                                                                  
                                                                                   
    % Abuse contact for '95.211.113.0 0 95.211.113.255' is 'abuse@nl.leaseweb.com'                                                              
                                                                                   
    inetnum: 95.211.113.0 0 95.211.113.255                                                                        
    netname: LEASEWEB                                                                            
    descr: LeaseWeb Netherlands B.V.                                                                        
    remarks: Please send all abuse notifications to the following email address: abuse@nl.leaseweb.com. To ensure proper processing of your abuse notification, please visit the website www.leaseweb.com/abuse for notification requirements. All police and other government agency requests must be sent to subpoenas@nl.leaseweb.com.
    country: NL                                                                            
    admin-c: LSW1-RIPE                                                                            
    tech-c: LSW1-RIPE                                                                            
    status: ASSIGNED PA                                                                          
    mnt-by: LEASEWEB-NL-MNT                                                                            
    created: 2011-11-07T11:46:49Z                                                                            
    last-modified: 2015-09-30T22:18:11Z                                                                            
    source: RIPE                                                                            
                                                                                   
    person: RIP Mean                                                                          
    address: P.O. Box 93054                                                                        
    address: 1090BB AMSTERDAM                                                                          
    address: Netherlands                                                                            
    phone: +31 20 3162880                                                                        
    fax-no: +31 20 3162890                                                                        
    abuse-mailbox: abuse@nl.leaseweb.com                                                                            
    nic-hdl: LSW1-RIPE                                                                            
    mnt-by: LEASEWEB-NL-MNT                                                                            
    created: 2005-06-07T14:36:03Z                                                                            
    last-modified: 2017-03-30T12:29:00Z                                                                            
    source: RIPE # Filtered                                                                        
                                                                                   
    % Information related to '95.211.0.0/16AS60781'                                                                      
                                                                                   
    route: 95.211.0.0/16                                                                            
    descr: LEASEWEB                                                                            
    origin: AS60781                                                                            
    remarks: LeaseWeb                                                                            
    mnt-by: LEASEWEB-NL-MNT                                                                            
    created: 2014-03-11T14:28:00Z                                                                            
    last-modified: 2015-09-30T23:00:04Z                                                                            
    source: RIPE                                                                            
                                                                                   
    % This query was served by the RIPE Database Query Service version 1.88.1 (HEREFORD)                                                    
                                                                                   
                                                                                   
    Host
    LeaseWeb
    Host Location
    Amsterdam, Netherlands
    geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 95.211.113.154
    
    GeoIP City Edition Rev 1: NL N/A N/A N/A N/A 52.382401 4.8995 0 0
    GeoIP Location
    Amsterdam, Netherlands
  • A 141.105.69.239
    whois 141.105.69.239
    
                               
    #                          
    # ARIN WHOIS data and services are subject to the Terms of Use  
    # available at: https://www.arin.net/whois_tou.html                    
    #                          
    # If you see inaccuracies in the results, please report at      
    # https://www.arin.net/public/whoisinaccuracy/index.xhtml                        
    #                          
                               
                               
    #                          
    # The following results may also be obtained via:          
    # https://whois.arin.net/rest/nets;q=141.105.69.239?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2                        
    #                          
                               
    NetRange: 141.0.0.0 0 141.255.255.255                    
    CIDR: 141.0.0.0/8                        
    NetName: RIPE-ERX-141                        
    NetHandle: NET-141-0-0-0-0                        
    Parent: ()                        
    NetType: Early Registrations, Maintained by RIPE NCC              
    OriginAS:                          
    Organization: RIPE Network Coordination Centre (RIPE)                
    RegDate: 1993-05-01                        
    Updated: 2009-05-18                        
    Comment: These addresses have been further assigned to users in        
    Comment: the RIPE NCC region. Contact information can be found in      
    Comment: the RIPE database at http://www.ripe.net/whois                
    Ref: https://whois.arin.net/rest/net/NET-141-0-0-0-0                        
                               
    ResourceLink: https://apps.db.ripe.net/search/query.html                        
    ResourceLink: whois.ripe.net                        
                               
    OrgName: RIPE Network Coordination Centre                  
    OrgId: RIPE                        
    Address: P.O. Box 10096                    
    City: Amsterdam                        
    StateProv:                          
    PostalCode: 1001EB                        
    Country: NL                        
    RegDate:                          
    Updated: 2013-07-29                        
    Ref: https://whois.arin.net/rest/org/RIPE                        
                               
    ReferralServer: whois://whois.ripe.net                        
    ResourceLink: https://apps.db.ripe.net/search/query.html                        
                               
    OrgTechHandle: RNO29-ARIN                        
    OrgTechName: RIPE NCC Operations                    
    OrgTechPhone: +31 20 535 4444                  
    OrgTechEmail: hostmaster@ripe.net                        
    OrgTechRef: https://whois.arin.net/rest/poc/RNO29-ARIN                        
                               
    OrgAbuseHandle: ABUSE3850-ARIN                        
    OrgAbuseName: Abuse Contact                      
    OrgAbusePhone: +31205354444                        
    OrgAbuseEmail: abuse@ripe.net                        
    OrgAbuseRef: https://whois.arin.net/rest/poc/ABUSE3850-ARIN                        
                               
                               
    #                          
    # ARIN WHOIS data and services are subject to the Terms of Use  
    # available at: https://www.arin.net/whois_tou.html                    
    #                          
    # If you see inaccuracies in the results, please report at      
    # https://www.arin.net/public/whoisinaccuracy/index.xhtml                        
    #                          
                               
                               
                               
    Found a referral to whois.ripe.net.                  
                               
    % This is the RIPE Database query service.            
    % The objects are in RPSL format.              
    %                          
    % The RIPE Database is subject to Terms and Conditions.        
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf                      
                               
    % Note: this output has been filtered.              
    % To receive output for a database update, use the -B flag.    
                               
    % Information related to '141.105.64.0 0 141.105.71.255'              
                               
    % Abuse contact for '141.105.64.0 0 141.105.71.255' is 'abuse@hostkey.ru'          
                               
    inetnum: 141.105.64.0 0 141.105.71.255                    
    netname: RU-HOSTKEY-20110627                        
    country: RU                        
    org: ORG-MTL21-RIPE                        
    admin-c: PC7356-RIPE                        
    tech-c: PC7356-RIPE                        
    tech-c: PC7356-RIPE                        
    status: ALLOCATED PA                      
    mnt-by: RIPE-NCC-HM-MNT                        
    mnt-by: MTLM-MNT                        
    mnt-routes: MTLM-MNT                        
    remarks: abuse-mailbox: abuse@hostkey.ru                      
    created: 2011-06-27T08:53:56Z                        
    last-modified: 2017-03-16T11:58:57Z                        
    source: RIPE # Filtered                    
                               
    organisation: ORG-MTL21-RIPE                        
    org-name: Mir Telematiki Ltd                    
    org-type: LIR                        
    address: Barabannii pereulok 4/4                    
    address: 107023                        
    address: Moscow                        
    address: RUSSIAN FEDERATION                      
    phone: +7 495 369 9796                  
    fax-no: +7 495 369 9796                  
    mnt-ref: MTLM-MNT                        
    mnt-ref: RIPE-NCC-HM-MNT                        
    mnt-by: RIPE-NCC-HM-MNT                        
    mnt-by: MTLM-MNT                        
    abuse-mailbox: abuse@hostkey.ru                        
    abuse-c: HA2800-RIPE                        
    created: 2010-10-06T10:46:46Z                        
    last-modified: 2017-03-16T11:51:40Z                        
    source: RIPE # Filtered                    
                               
    person: RIPE Team                      
    address: Moscow, Russia                      
    phone: +7 495 369 97 96                
    nic-hdl: PC7356-RIPE                        
    mnt-by: MTLM-MNT                        
    abuse-mailbox: abuse@hostkey.ru                        
    created: 2008-10-19T20:57:02Z                        
    last-modified: 2017-03-16T11:54:18Z                        
    source: RIPE                        
                               
    % Information related to '141.105.69.0/24AS49335'                  
                               
    route: 141.105.69.0/24                        
    descr: NCONNECT-NET direct announce                    
    origin: AS49335                        
    mnt-by: MTLM-MNT                        
    created: 2013-10-01T18:22:47Z                        
    last-modified: 2013-10-01T18:22:47Z                        
    source: RIPE                        
                               
    % This query was served by the RIPE Database Query Service version 1.88.1 (ANGUS)
                               
                               
    Host
    Hostkey
    Host Location
    Moscow, Russia
    geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat 141.105.69.239
    
    GeoIP City Edition Rev 1: RU 48 Moscow City Moscow 101194 55.748501 37.618401 0 0
    GeoIP Location
    Moscow, Russia

Host Nationality Influence?

So we can see from the above that a few different companies are involved in Wikileaks' hosting:

  • Solar Communications, GmbH
  • Blix Solutions
  • Hostkey
  • LeaseWeb

Interestingly, one of the Hostkey servers is falsely listed in Amsterdam, despite being actually located in Moscow (according to the MaxMind GeoIP database).

Blix Solutions

An ISP and server host based out of Oslo, Norway, Blix has data centers in Oslo, Stockholm, Copenhagen, Amsterdam, and New York. Founded by Eirik Blix, it seems to be a young, flexible ISP/hosting business.

Servers

wikileaks.org
2 servers
ns3.wikileaks.org
1 server
ns4.wikileaks.org
1 server
mx.wikileaks.org
1 server

Solar Communications, GmbH

A medium-sized host in Switzerland, Solar Communications offers dedicated servers, colocation, cloud hosting, a CDN, and DDOS protection. I've heard claims that they're a host for a number of private, corporate Tor nodes, but I haven't found any evidence of this yet. A comment from them can be found on the Tor ISP review page on the Tor wiki, indicating that they'll allow relay nodes, but not exit nodes.

Servers

ns1.wikileaks.org / ns2.wikileaks.org
1 server (shared)

LeaseWeb

LeaseWeb is a longstanding hosting provider offering dedicated, bare metal, and virtual servers, private cloud services, a CDN, and cybersecurity services. It's owned by Ocom, an internet services company led by Con Zwinkels, LeaseWeb's founder. LeaseWeb has encouraged partnership with Russia in the past. Rustelekom is a reseller of their services, and they do have Russian data centers. Wikileaks does not appear to be using any of their Russian servers, but it remains unclear how much influence, if any, Russia could have over LeaseWeb.

Servers

wikileaks.org
2 servers
ns3.wikileaks.org
1 servers
ns4.wikileaks.org
1 server

Hostkey

Hostkey is a server, colocation and cloud hosting company based out of Moscow. They have an additional data center in Amsterdam, and listed one of the servers they rent to Wikileaks as being located there, despite GeoIP data indicating that the server is located in Moscow. Hostkey appears to be owned by Pyotr (or Petr or Peter) Chayanov, judging by whois data. As discussion broke about Chayanov on Twitter, he appears to have deleted all content on his twitter account. Chayanov is connected indirectly to Russian surveillance technology company MFI Soft through Alex Myodov, an MFI engineer who co-founded FreeBrie with him. See Myodov's CV, posted on an open source project of his.

A connection is argued to exist between Chayanov/Hostkey and Guccifer2, based on reports that the US State Voter database hacks were conducted from Hostkey-operated servers, as well as the fact that Wikileaks started using Hostkey's services approximately a week before releasing the DNC email hack. This evidence is circumstantial, but intriguing, and casts doubt on the trustworthiness of Chayanov and Hostkey.

Servers

wikileaks.org
1 server
ns3.wikileaks.org
1 server
ns4.wikileaks.org
1 server

Distinguishing Possible Configurations

There are two main themes in the set of possible configurations that would look like this. Either:

  1. The Hostkey server in Moscow is doing SSL termination, and is providing redundancy and additional performance, or
  2. The Moscow server isn't doing SSL termination, and instead is passing requests on—at a minor performance cost—for the sake of obfuscation.

There are no reliable ways to distinguish between these two possibilities. Minor hints might be extracted by comparing ping round trips to each server against SSL round trips, looking for differences in the ratios. This would not reveal much, however. All of the A records could be simple frontends that redirect to a different server which actually terminates the SSL connections. The possibility remains, however, that the Moscow server does terminate SSL connections. Given the inability to rule the possibility out, we must protect against it as though it's a reality.

Potential Impact

The company most likely to be of concern is Hostkey, due to links between it and both the Russian hacker community (through Hostkey's known hosting of malware sites) and the Russian surveillance community (through close colleague of Chayanov, Alex Myodov). Wikileaks hosts three servers with Hostkey: two nameservers and a web server.

The nameservers are a mild to moderate concern, due to their ability to direct Wikileaks' traffic (which is the primary function of a nameserver). Of greater concern is the web server. Given the real possibility that Hostkey has access to the SSL key, potential threats could range from passive fingerprinting to occasional injection of malware against particularly interesting visitors. This could further enable the potential deanonymization of leakers.

Conclusion

Given that there are reasons to doubt the trustworthiness of Hostkey and Chayanov, and given that the Hostkey-operated Wikileaks server may have cleartext access to the Wikileaks SSL cert, there are meaningful doubts to be had regarding the safety of accessing Wikileaks. It's worth noting that Assange has praised the Russian free press, arguing that Wikileaks isn't needed there. Wikileaks has not released any datasets targeting Russia at this time.