« Захист інформації в Мережі: віртуальна реальність
URL Spoofing в GoogleBot, Mozilla та Internet Explorer »

Похакані сайти №41

22:43 23.04.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://panbud.com.ua (хакером hr0m)
  • http://www.e-pokupka.kiev.ua (хакером BozKuRT) - даний сайт вже був похаканий 26.12.2008. А нещодавно, 16.04.2009, він був поканий BozKuRT, а зараз сайт вже похаканий IK4Z*. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://wifi-hunter.org.ua (хакером ANDERSON) - був похаканий 20.03.2009, а щойно і я покахав цей сайт ;-)
  • http://www.intercharm.kiev.ua (хакером Cyb3rking) - 07.04.2009, зараз сайт вже виправлений адмінами
  • http://lavinadigital.com (хакером GuardіaN) - 14.04.2009, зараз сайт не працює

This entry was posted on 22:43 23.04.2009 and is filed under Новини сайту, Дослідження. You can follow any responses to this entry through the RSS 2.0 feed.

10 відповідей на “Похакані сайти №41”

  1. krechet каже:
    Неділя, 17:50 26.04.2009

    Молодчина потішся до завтра. :)

  2. MustLive каже:
    Неділя, 19:39 26.04.2009

    krechet

    Ти про що :-) . Це ти стосовно wifi-hunter.org.ua?

    Що саме тобі не сподобалось (що ти намірився завтра змінити)? Тобі не сподобався мій protecting hack, який призначений для запобігання майбутнім хакам на даному сайті (подібних до хаку ANDERSON). Тобі слід звертати увагу на позитивну сторону в діях людей.

  3. krechet каже:
    Неділя, 20:39 26.04.2009

    Тоді наразі дякую.
    Немав часу розбиратись що сталось, помітив тільки що там редірект стоїть.
    Завтра з бекапів зможу підняти сайт.

  4. krechet каже:
    Неділя, 21:21 26.04.2009

    “Хакед бай андерсон” - це назва статті на мому сайті, яка описує розміщення однойменої точки доступу. Так що получається що сайт хакнув ти…

  5. MustLive каже:
    Понеділок, 21:04 27.04.2009

    krechet, завжди будь ласка.

    В подальшому слідкуй за безпекою своїх сайтів.

    Немав часу розбиратись що сталось, помітив тільки що там редірект стоїть.

    Через уразливість на сайті я розмістив редиректор. Щоб у випадку, якщо хтось зайте на сайт з недоброю метою, то його редиректило на мій сайт. Від серйозних хакерів це не врятує, але від початківців і скрипт-кідісів його достатньо. А також редиректор призначений для привертання уваги адмінів до проблем безпеки їхніх сайтів.

    Завтра з бекапів зможу підняти сайт.

    Не обов’язкого користуватися бекапами, достатньо було витерити мій пост з редиректором. Але найголовніше треба виправити уразливість, щоб її в подальшому не змогли використати. Як дану persistent XSS, так і усі інші уразливості (яких в Вордпресі вистачає).

  6. MustLive каже:
    Понеділок, 21:23 27.04.2009

    “Хакед бай андерсон” - це назва статті на мому сайті

    krechet, коли я шукав нові похакані сайти в Уанеті (для свого щотижневого дослідження), я виявив твій сайт. Через пост на ньому HACKED BY ANDERSON %) (зараз цей пост видалений, але його можна побачити в кеші Гугла).

    В пості немає жодного тексту, тому він не був статтею, а виглядав як хак сайту (через уразливість, яка дозволяла створювати на сайті нові пости з довільною назвою). Про що я і написав в новинах. Враховуючи, що ти потер цей пост, разом з кількома моїми постами (зі словом Hacked), то це підтверджує те, що даний пост не був твоєю статтею.

    І враховучи те, що окрім вищезгаданої уразливості я також виявив persistent XSS (яка могла використовуватися для розповсюдження шкідливого коду), я і розмістив редиректор на твоєму сайті. Для запобігання подібним ситуаціям.

    Так що получається що сайт хакнув ти…

    Ясна річ, сайт твій похакав і я, про що я написав в новинах. Але те, що хтось до мене написав “HACKED BY ANDERSON %)” на твоєму сайті, це факт, який спокійно можна побачити в кеші Гугла, про що я вже писав (і той пост не був статтею).

    Мій хак, який я назвав protecting hack, був зроблений з позитивною метою (як і всі хаки сайтів, які я роблю). І на тому, що в мене тільки “добрі хаки” я завжди наголошую. Тому й оцінювати їх треба з позитивної сторони.

  7. krechet каже:
    Вівторок, 23:00 28.04.2009

    Прошу дуже подивитись на мою статтю що називаэться хакед бай андерсон отут http://wifi-zone.lviv.ua/?p=2064. Я її дійсно видалив, випадково, скюл скріптом типу delete from wp_posts where post_title like “%hacked%”. Статті в мене генеруються автоматично з бази даних, відповідно вона в мене перегенерилась після видалення. Подальше обговорення цієї теми мені нецікаве, і надіюсь тобі також. :)

    Зато мені цікаво, яким чином ти отримав права публікувати пости на моєму сайті.
    Я знайшов і видалив дві уязвимості, але в мене є обгрунтовані підозри, що насправді була використанна треття. Натякни будь-ласка :)

  8. MustLive каже:
    Понеділок, 23:30 04.05.2009

    Прошу дуже подивитись на мою статтю що називаэться хакед бай андерсон

    Сергій

    Точно таку саму статтю я вже бачив на wifi-hunter.org.ua (яку, як я вже казав, зараз можна побачити в кеші Гугла). На статтю це аж ніяк не схоже - в статті повинен бути текст, а в даному випадку має місце лише заголовок “HACKED BY ANDERSON :) ”, одне речення “Tochka dostupu…” і таблиця. Подібних сторінок з даними про різні точки доступу в тебе на сайті (як на wifi-zone.lviv.ua, так і wifi-hunter.org.ua) вистачає. Саме дану сторінку я ідентифікував як похакану, під час своїх щотижневих досліджень похаканий сайтів в Уанеті.

    Подальше обговорення цієї теми мені нецікаве, і надіюсь тобі також.

    По-перше, чи будеш ти слідкувати за безпекою власних сайтів, як я тобі радив, чи ні - це твоя власна справа. Зі своєї сторони я тебе про це попередив.

    По-друге, чути стогони мені ясна річ не цікаво :-) . Ще з самого початку роботи мого веб проекту (з липня 2006) і по сей день я нерідко чую стогони від людей, яких я попереджаю про уразливості на їх сайтах. В тому числі й від тих людей, сайти яких я взламую для наочної демонстрації проблем з їх безпекою. Тому я особливо не звертаю уваги на подібні стогони.

    Зато мені цікаво, яким чином ти отримав права публікувати пости на моєму сайті.

    Коли я зайшов на твій сайт, на сторінку “HACKED BY ANDERSON :) ” я вирішив подивитися, яку ж дірку було використано для цього хаку. В даному випадку це не повний хак сайта, а лише розміщення посту з довільним надписом.

    І я швидко виявив три уразливості: Arbitrary post creation (створення на сайті нових постів з довільною назвою), Insufficient Anti-automation (можливість автоматизовано проводити першу атаку, для засмічення БД) та Persistent XSS.

    Використовучи першу дірку я розмістив декілька постів в тебе на сайті. А використовуючи останню дірку - я розмістив редиректор. Тому безпосередньо прав я не отримував, а розмістив пости через уразливість на сайті.

  9. KH каже:
    Неділя, 13:51 14.03.2010

    Бібліотеку мого ВУЗу завойовано турками?
    http://www.ikt.hneu.edu.ua/ :? :

  10. MustLive каже:
    Неділя, 18:24 14.03.2010

    KH

    Так і є - саме турки й атакували сайт твого ВУЗу. Про цей випадок я згадаю в наступній добірці похаканих сайтів Уанету. Як я неодноразово зазначав журналістам та під час виступу на конференції CodeCamp 2009, що в 2009 році, що в минулі роки, найбільше взламують сайти в Уанеті саме турки (і в 2010 році ця тенденція продовжується).

    Про турецького хакера SALDIRAY, що активно промишляв в Уанеті в минулому році й продовжує в цьому році, я вже писав в своєму звіті за 2009 рік.

Leave a Reply

You must be logged in to post a comment.