Хакери взломали сайти Гриценка і Жванії
22:44 03.11.2009Як я вже писав на минулому тижні, 24.10.2009 хакерами з Front Zmin H4ck t34m було взломано http://www.grytsenko.com.ua - сайт Анатолія Гриценка (кандидата в президенти України). Це я виявив під час свого щотижневого дослідження хакерської активності в Уанеті.
Пізніше я дізнався з новин на www.pravda.com.ua, що виявляється хакери майже одночасно взломали сайти Гриценка і Жванії. Гриценка - увечері 24.10.2009, а Жванії - 25.10.2009. Сайт Давида Жванії http://www.zhvaniya.com також був взломаний хакерами з Front Zmin H4ck t34m.
Тобто дана хакерська група, які називають себе прихильниками Яценюка, за короткий час взломали ще два сайта. Тим самим продовживши свою “ходу” по сайтам політичних опонентів, вслід за взломами сайтів Партії Зелених України, Партії Регіонів та блоку Леоніда Черновецького.
Так що шоу триває .
Середа, 08:19 04.11.2009
Великого розуму на одному боксі взламати - не треба мати.
> grytsenko.com.ua
Server: algol
Address: 172.25.0.10
Non-authoritative answer:
Name: grytsenko.com.ua
Address: 62.149.9.96
> zhvaniya.com
Server: algol.
Address: 172.25.0.10
Non-authoritative answer:
Name: zhvaniya.com
Address: 62.149.9.96
Середа, 15:18 04.11.2009
Vyacheslav
Добре, що ти звернув увагу на те, що ці два сайти хостяться на одному сервері. Це можна було передбачити, що Гриценко і Жванія вирішать свої сайти розмістити у одного хостера та ще й на одному сервері.
Стосовно ж твоєї заяви.
То, по-перше, невідомо звідки ти взяв аж дві адреси сервера. Бо я одразу дістав (через whois) реальну адресу сервера - 62.149.9.96 - для цих двох сайтів.
А по-друге, у них явно окремі акаунти на шарінг хостінгу. А це значить, що з одного акаунту не доберешься (просто так) до сайтів іншого акаунту - якщо адміни нормально налаштували сервер. У цих сайтів провайдер - ColoCall, і там адміни нормально сервер налаштовують. Хакери могли підняти своїх права в системі (через дірки в Unix), після чого похакати обидва сайти - але це теж малоімовірно, що Колокольці тримають діряву як сито версію Unix-системи.
Інша справа, що у них міг бути один акаунт на двох і обидва сайти розміщені під одним акаунтом - і тому зі вломом одного сайту, вони легко взломали й другий. Сам іноді стикаюся з такими сайтами в Мережі. Але я не схильний до даного варіанту, більш вірогідно, що в них все ж таки різні акаунти.
І тому хакерам пришлось окремо хакати обидва сайти. Або ж, про що я писав раніше в новинах, це можуть бути підставні й несправжні взломи. В будь-якому випадку шоу триває .
Середа, 15:31 04.11.2009
Це не дві адреси, а два послідовних запити до nslookup в режимі діалогу
2) На шаред хостінг це не виглядає - там хоститься ще буквально пару (3) сайтів на додачу Ogurcov.com, Enternet5.com:
І по назві - це MX веб контори яка їх розробляла. Тобто майже “дедікейтед” - відповідно скорше всього банальна компрометація криво налаштованого серверу на якому вчасно не робився портапдейт.
Середа, 22:07 04.11.2009
Vyacheslav, тобто ти не міг скористатися більш зручним інструментом, що одразу видав би тобі IP адресу самого сервера (і багато іншої інформації) з whois. І без IP адреси DNS сервера. Але це твоя справа, яким інструментом користуватися.
Те що на сервері всього 5 сайтів - ogurcov.com, grytsenko.com.ua, zhvaniya.com, poryadok.org.ua та enternet5.com - це ще не значить, що це не шаред. Це цілком може бути шаред хостінг. Наприклад, мій сайт зараз хоститься на шаред хостінгу (куди я переїхав у серпні цього року), де всього 2 сайти. Я це знаю напевно, і не тільки через зовнішні інструменти, але й по внутрішнім даним сервера. Тому і з двома сайтами може бути шаред .
До того ж, якщо б там був дедікейтед з усіма сайтами під одним акаунтом, то хто заважав хакерам взломати всі 5 сайтів. А не вібірково два сайти, як це вони зробили. В такому разі вони повели себе дуже скромно (чого не видно з тих надписів які вони робили на цих та попередніх взломаних сайтах).
Навіть, якщо припустити, що там дедікейтед, то у випадку, якщо нормальні адміни за ним слідкують, то ситуації з непроапдейченою ОС не виникло б. До того ж, у випадку дедікейтед ніхто не заважає адмінам зробити різні акаунти для різних сайтів (для надійності). Тому я схиляюся до варіанту, що там не атака на обидва сайти з одного сайта (через дірки в серверній ОС), а саме дві окремі атаки. Це якщо ці взломи не є інсцинуаціями (це ж стосується інших їхніх взломів).
Четвер, 08:34 05.11.2009
Це залежно під якою операційкою працювати. Десь dig, десь whois, а у Win системах nslookup. Який за допомогою SET TYPE можна сконфігурувати на те що хочеш отримати
5 сайтів розроблених однією компанією, які лежать на хості який є mx-ом цієї компанії? Виглядає просто на хостінг “по приятелюванню”, а ніж як сервіс який надає тобі нпр. Мірохост.
На додачу скорше всього на одній власній ЦМС. На хості з ключеним виводом варнінгів і нотайсів на екран. Поглумилися можливо навіть не через дірки в серверній ОС, а через однакову дірку в ЦМС що керує цими сайтами.
Четвер, 20:11 05.11.2009
Вячеслав. Це схоже на хостінг “у себе на сайті” від компанії, яка розробила сайт. Я не один раз зустрічав таку ситуацію, зокрема серед українських компаній веб девелоперів (дірки в CMS яких я знаходив і сайти яких хакав), коли клієнтам надається послуга хостінгу, але хостяться такі клієнти на одному сервері (часто на тому ж, де і сам сайт компанії розробника). І в таких випадках ніхто адмінам сервера не заважає зробити всім окремі акаунти (і нормально права на сервері налаштувати).
Ти правий, що ця компанія - flashmedia.com.ua (у якої зараз сайт не працює ) - є розробником цих сайтів. Те, що цей сервер є їх mx-ом, це безпосередньо не значило, що вони є розробником цих сайтів. Але я перевірив всі 5 сайтів і на 4 з них знайшов лінку на flashmedia.com.ua. Тільки на grytsenko.com.ua немає лінки, але раз його інший сайт, poryadok.org.ua, має лінку на них, то значит й він також розроблений ними. Що цікаво, на ogurcov.com та на poryadok.org.ua при розміщенні лінки на flashmedia.com.ua використовуються чорні сео методи, які відносяться до заборонених і за які пошуковці банять .
На багатьох хостах по замовчуванню виводяться варнінги і нотайси (і тим паче ерори), що добре видно з моїх статей про Гугл хакінг, тому це більше справа не хоста, а веб девелоперів, або адмінів сайта. Щоб на сайті їх відключити. В даному випадку вони цього не зробили, що відповідним чином їх характеризує - як і сам факт взлому (аж двох сайтів розроблених однією компанією).
А ось це дуже вірогідно. І відповідно, раз на як мінімум двох сайтах розміщена дана CMS, в якій і була знайдена дірка, через яку взломали перший сайт. То і другий могли взломати через цю ж дірку.
Так що більш вірогідно, що взлом даних двох сайтів пов’язаний не з їх розміщенням на одному хості, а саме з тим, що вони розроблені однією компанію (і використовують одну CMS). Але, як я щойно перевірив, швидко знайшовши адмінки на всіх 5 сайтах - там різні CMS-ки використовуються (лише на ogurcov.com та poryadok.org.ua вона співпадає, а на enternet5.com вона взагалі не працює). Тому виходить, що дірки на сайтах Гриценка та Жванії використовувалися різні (в різних CMS).
П'ятниця, 00:09 06.11.2009
Однако мега сайт элемент5, за вход надо смс отправить ))) это Жвания промышляет таким )))
Неділя, 23:45 08.11.2009
РУДИМЕНТ, возможно и Жвания .
Но сама идея, предложенная ребятами с Элемент5, в целом неплохая. И те сайты, у которых имеется платный контент и которые желают заработать на доступе к данному контенту (и при этом ищут удобный способ проведения оплаты), то они могут этой идеей воспользоваться. Т.к. в отличии от электронных денежных систем, в Украине мобильниками пользуется гораздо большее количество людей.
И соответственно оплата через мобильник является более переспективным средством проведения платежей. Поэтому различные электронные денежные системы, такие как WebMoney, PayPal и LiqPay, также активно используют мобильники. А Элемент5 предложил вариант оплаты с помощью sms, что также является быстрорастущим направлением.