Масовий взлом сайтів на сервері X-HOST

22:41 08.02.2011

У грудні місяці відбувся масовий взлом сайтів на сервері X-HOST. Нещодавно я вже розповідав про два інші масові взломи.

Він відбувся перед згаданими масовоми взломами на сервері HostPro та сервері Hvosting. В цьому випадку булов дефейснуто набагато більше сайтів.

Всього було взломано 227 сайтів на сервері української хостингової компанії X-HOST (IP 193.200.255.10). Це наступні сайти: www.techno-plus.zp.ua, shop.impreza.net.ua, www.vtoytovich.com, www.mirfinance.biz, www.bio-sculpture.com.ua, www.all-ni.com.ua, www.olvia-sad.com.ua, www.akkumulyator.org.ua, www.texas.in.ua, www.restavraciya.dp.ua, www.wm-change.in.ua, www.razmah.in.ua, www.zloeradio.org.ua, www.remservis.com.ua, www.publitec.us, www.grandmafia.org.ua, www.mega-poligraf.kiev.ua, www.progresspk.com.ua, www.cosmo.ivr.com.ua, www.plastilin.in.ua, www.perlyna.org.ua, www.palliativecare.gov.ua, www.l-brus.com.ua, www.compservice.dp.ua, www.zabudoffprofy.com.ua, www.dom-gotov.com.ua, www.waterpark.com.ua, www.melnikovsergey.com, www.whitetig.com.ua, www.rec-studio.com.ua, www.yumina.com.ua, www.alexeymelnik.com, www.warmtech.com.ua, www.aquapark.net.ua, www.santehdom.kiev.ua, www.website-master.com.ua, www.remontdoma.com.ua, www.parus.co.ua, www.tdpolitep.com, www.original.crimea.ua, www.mebeldom.in.ua, www.mebelzakaz.kiev.ua, www.svit-tepla.com.ua, www.taxiboard.com.ua, www.d-v.com.ua, www.easy-www.com.ua, www.it-master.dp.ua, www.bittrade.net.ua, www.detaley.net.ua, www.taxi-kiev.kiev.ua, www.skytek.com.ua, www.f-notebook.com.ua, www.sun-bud.com.ua, www.bbc.in.ua, www.pravda.li, www.skrug.com.ua, www.stargarden.com.ua, www.promza.com, www.urkaina.org.ua, www.pav.zp.ua, www.service-pc.com.ua, www.kravtspost.com, www.berioza.org.ua, www.enterkredit.com.ua, www.swbplaneta.com, www.autowinner.com.ua, www.newcity.com.ua, www.ampvolshebnik.ru, www.flavourart.com.ua, www.asmati.com.ua, www.newsmoking.com.ua, www.ostap.kiev.ua, www.meducation.com.ua, www.obuhiv.com.ua, www.044045.com, www.palliativecare.com.ua, www.goop.com.ua, www.e-smoking.com.ua, www.mykhaylenko.com.ua, www.slobodchuk.com.ua, www.neurosummit.org.ua, www.sunny-tour.com.ua, www.willi.com.ua, www.mysubs.com.ua, www.e-liquid.com.ua, www.dreamday.com.ua, www.damba.com.ua, www.gigasystems.com.ua, www.malen.com.ua, www.soft-alterego.com, www.mag-vmeste.com.ua, www.powerled.com.ua, www.cgfsystems.com, www.hygetropin.com.ua, www.littlelab.com.ua, www.lf-kts.com, www.shokerov.net.ua, www.gmc-med.com.ua, www.eshoker.org.ua, www.prokladka.net.ua, www.zolotyekupola.com.ua, www.advokatua.org.ua, www.weapon-books.com, www.rubilnik.mk.ua, www.sexpotencia.ru, www.k-shara.com.ua, www.kvorum.mk.ua, www.nabor.kiev.ua, www.netprofit.org.ua, www.right-house.com.ua, www.kolotova.kiev.ua, www.kotlyk.com.ua, www.dosyg.mobi, www.kovka2000.com.ua, www.keysolutions.com.ua, www.kab.kiev.ua, www.lr-club.com.ua, www.audit-s.com.ua, www.prydbay.in.ua, www.intermebel.kiev.ua, www.pincode.biz.ua, www.jugglers.com.ua, www.lte.co.ua, www.imeks.com.ua, www.impreza.net.ua, www.e-design.biz.ua, www.blackforum.volyn.net, www.black.volyn.net, www.impexgr.com, www.igorkozak.com.ua, www.kupit.in.ua, www.gooldmobi.com.ua, www.icomicom.org.ua, www.rtm-flowers.com.ua, www.distella-ardens.org.ua, www.samplesland.com, www.flora.zp.ua, www.soundpress.biz, www.generiki.com.ua, www.chernoemore.mk.ua, www.finversion.com, www.chernoemore.com.ua, www.3vyki.ru, www.top100cotton.com.ua, www.epox.com.ua, www.dpm.dp.ua, www.law.odessa.ua, www.dondeluna.com.ua, www.edelweiss.kiev.ua, www.eragorn.com.ua, www.svpodorog.com.ua, www.economy-ukraine.com.ua, www.mikor.com.ua, www.ua-investment.com, www.ua-investment.com.ua, www.stroycentr.net.ua, www.cyprusdom.com, www.stylo.kiev.ua, www.coinsoleg.com, www.chereshenka.com, www.imenaa.com.ua, www.krovlya7.kiev.ua, www.vocabularioingles.10wordsaday.com, www.fermerstvo.in.ua, www.mbk.uz.ua, www.vocabulaireanglais.10wordsaday.com, www.10wordsaday.com, www.englishverbs.10wordsaday.com, www.mosya.kiev.ua, www.dts-kiev.com.ua, www.designworkshop.com.ua, www.sheleljo.com.ua, www.pp-vovk.com.ua, www.pervak.uz.ua, www.avtolab.kiev.ua, www.mosaika.com.ua, www.art-therapy.org.ua, www.angollcoins.com.ua, www.epatag.com, www.kvitkakiev.com.ua, www.artissoft.com.ua, www.angel-studio.com.ua, www.sevshop.ru, www.triamera.net, www.hitechauto.com.ua, www.real-estate.crimea.ua, www.sevrealty.com, www.astar.su, www.asnu.org.ua, www.aja.com.ua, www.sev-shop.com.ua, www.webadviser.info, www.oskar.com.ua, www.adventecjob.com, www.101service.com.ua, www.slotserver.net, www.palexa.com.ua, www.musclub.info, www.it-territory.net.ua, www.deadseacosmetics.com.ua, www.artplus.org.ua, www.112tour-ua.com.ua, www.slotgames.com.ua, www.do-ubleup.com, www.dah-centr.com.ua, www.business-request.com.ua, www.astonfs.com.ua, www.avonkiev.com.ua, www.dekolte.com.ua, www.maximus2003.com.ua, www.archidea.net.ua, www.x-change.in.ua, www.laminatory.org.ua, www.bedzh.org.ua, www.mazanka.net.ua, www.site-design-web.com, www.elitvikna.com.ua, www.svit-eko.com.ua, www.plitka2000.com.ua, www.muscari.ru, www.stw.net.ua, www.machta.com.ua, www.global.zt.ua, www.radiator.in.ua, www.dnk-pit-stop.com, www.tamada.rv.ua, www.ivr.com.ua. Серед них один український державний сайт www.palliativecare.gov.ua.

Зазначені сайти були взломані в період з 6 по 9 грудня 2010 року. Дефейси 225 сайтів проведено хакером GHoST61, 1 сайта хакером iskorpitx та 1 сайта хакером kaMtiEz. Дані сайти використовують різні веб додатки.

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.


9 відповідей на “Масовий взлом сайтів на сервері X-HOST”

  1. Дмитро каже:

    “І снова здравствуйте!”

    http://masterholod.com.ua/ Stupid

    Через Яндекс знайшов - дивився ключевики, по яких до мене переходять, вийшов на серп і побачив на першому місці.

  2. Дмитро каже:

    До речі, написав до підтримки hostpro й отримав відповідь. Ао-можему мені продовжують дурити голову. ДОбре, ше трішки полистуємось, потім вам повідомлю про результати того листування.

  3. MustLive каже:

    Дмитро

    Про взлом masterholod.com.ua я вже писав два дні тому стосовно масового взлому сайтів на сервері Hvosting. Тоді Stupid дефейснув 17 сайтів, а перед цим 25 сайтів на сервері HostPro - активно працює цей хакер. І це лише його діяльність в Уанеті, а в інших частинах Мережі в нього ще більші “досягнення”.

    Всього він дефейснув 1579 сайтів (це те, що офіційно зафіксовано). І це лише в цьому році (менш ніж за 1,5 місяці), бо лише з 2011 року він почав свою діяльність.

    Так що не переживай, я виявляю всі жертви діяльності цього хакера, зокрема в Уанеті (як і знаходжу сліди діяльності багатьох інших діячів). Для цього я використовую як пошукові системи, так й інші джерела інформації.

  4. MustLive каже:

    До речі, написав до підтримки hostpro й отримав відповідь.

    Добре, з часом розповісиш про результати вашого спілкування. Зовсім не дивно, що вони тобі дурять голову - це звичайні підходи хостерів, така собі “захисна реакція”. Взагалі рідко який клієнт, якого хакнули, звертається з притензіями до хостера (незалежно від того чи є вина хостера, чи ні), тому вони стандартно переводять всю відповідальність на самого клієнта ;-) (і в більшості випадків винним є саме клієнт).

  5. Дмитро каже:

    “в більшості випадків винним є саме клієнт” тобто, в такому випадку масового зламу, про який ви оце висали, я првильно розумію? Чи в цьому випадку також клієнт виний - бо обрав не того гостера :?

    “І це лише його діяльність в Уанеті, а в інших частинах Мережі в нього ще більші “досягнення”.” До речі, я вас десь уже питав про мотиви такох діяльности, й ви не відповіли. Не хочете відповідати чи просто не помітили?

    ЩОдо листування. Допіру маю час їм відписати - зара продовжимо спілкування…

  6. MustLive каже:

    в такому випадку масового зламу, про який ви оце висали, я првильно розумію?

    Це я при взломи сайтів взагалі, бо більшість випадків - це не масові взломи. До того ж, в 99% випадків власник сайта не знає, що це масовий взлом і навіть якщо дізнається, що цим самим “хатцкером” взломані ще інші сайти, він не здогадується, що це можуть бути сайти на одному і тому самому сервері.

    А провайдери відповідно звикли до такої статистики та й самі можуть не знати про масовий характер інциденту (або полінились перевірити, або не хочуть перевіряти, щоб не забивати цим голову, або ж щоб не знати правди і краще спати, або навмисно приховують). Тому й відношення таке до клієнтів. От для інформування людей і про такі випадки (окрім інших взломів та інфікувань сайтів) я і розпочав в лютому дані дослідження масових дефейсів.

    Чи в цьому випадку також клієнт виний - бо обрав не того гостера :?

    Клієнт винний, коли через його дірки був взломаний його сайт. І особливо коли через нього хакнули й всі інши сайти на сервері :-) . У випадку масового дефейсу потрібно кожному клієнту (по логам) довести, що це не він став “слабкою ланкою” - довести собі, чи довести це комусь, щоб щось довести (наприклад, хостеру, щоб той признав свою провину і може вибачився, а може й довести до Інтернет громадськості інформацію про такого хостера, для чого можна використати і мої публікації). Звісно є опосередкована вина за вибір “не того” хостера - мовляв, що обрав, те і маєш.

    До речі, я вас десь уже питав про мотиви такох діяльности, й ви не відповіли.

    Я звісно бачив те питання (як і всі коментарі всіх відвідувачів) і як знайду час, я відповім - а я людина зайнята і завжди маю чим зайнятися окрім відповідей на коментарі. Зазначу, що в себе на сайті я розповідав про різні SEO-орієнтовані, комерційні та інші атаки на сайти, що і бувають мотивами нападників (але вони до цього випадку відношення не мають).

  7. Дмитро каже:

    Дякую за відповідь. Пізнавально.

    А що стосується мого листування з підтримкою HostPro, то я просто не можу його досі продовжити - простовідчуваю ж, що дурять, оманюють, але злість така бере що вважаю кращим поки не відповідати, а то буде сама лайка, з а того користі годі чекати.

    Відповіли ж мені допіру ось що:

    “Доброї ночі,

    Дійсно було взаламано декілька сайтів. Проаналізувавши журнали логування, виявилось, що всі дії над аккаунтами виконувались зі сторони самого аккаунта, а саме через FTP та Web доступ. Наприкладі WordPress та Joomla, взлам відбувався через теми оформлення. У випадку із FTP, був взламаний пароль для конкретного аккаунта. Як саме пароль був взламаний, методом перебору чи через backdoor-вірус, невідомо. Жодного взламу із root-им доступом не відбулося.

    Відповіді на Ваші запитання:
    - у випадку із WordPress, Joomla, все просто. Користувач підбирає нову тему для свого сайту із не офіційних і не перевірених джерел. Цим самим нарікаючи свій сайт на небезпеку. У випадку взламу через FTP доступ. Якщо пароль досить легкий, то його підбір методом “перебору” не займе багато часу. Так як на наших серверах налаштований firewall так, щоб запобігти цьому, думаю пароль був отриманий через backdoor-вірус. Принцип роботи його дуже простий. ПК користувача інфікується вірусом. Далі він перехоплює всі паролі, наприклад збережені в cookies, і передає іншій особі;
    - на наших серверах встановлені програми firerwall, які блокують зовнішні взлами, до того ж за роботою серверів постійно слідкують адміністратори. Ми постійно слідкуємо за програмним забезпеченням на наших серверах і оновлюємо його до стабільних, перевірених версій;
    - нажаль гарантій, що до взламу в даному випадку ми не можемо надати, тому як це залежить від інформованості і відповідальності користувача;
    - звичайно якби взлам відбувся на рівні системи (поки що такого слава Богу не ставалося), то ми би надали нашим клієнтам компенсацію.

    Нажаль більшість взламів відбувається саме через “дірки” в скріптах та мало інформованості користувача. В таких випадках ми детально аналізуємо, як саме відбувся взлам, і інформуємо користувача про це і щоб такого більше не повторилось. На наших серверах кожен день виконується бекапування даних, у випадку таких ситуацій.
    Для нас дуже важливі наші клієнти. Ми робимо все можливе, щоб забезпечити відмінну роботу та захист їхніх сайтів. Дякуємо Вам за лист. Будь ласка звертайтесь якщо у Вас виникнуть ще запитання.

    З повагою,
    Ячменюк Богдан
    Отдел технической поддержки компании HostPro
    Если у Вас есть повод связаться с руководством, Вы можете оставить свой запрос здесь.

    Ticket History [вирізане] (Client) Posted On: 09 Feb 2011 01:01
    ——————————————————————————–

    Прошу відреягувати на цей допис:

    http://websecurity.com.ua/4906/ Масовий взлом сайтів на сервері HostPro

    А саме, прошу підтвердити чи заперечити сказане в наведеному дописі. А також, в разі якщо такий злам справді відбувся:

    - чому і як це могло статися?
    - що зроблено вашим сервісом, щоби не допустити повторення такого?
    - які гарантії ви можете надати того, що таке не повториться?
    - чи не вважєте ви за потрібне розглянути питання про виплату компенсацій за такий злам власникам постраждалих сайтів?

    Також, будьласка, поясніть вашій службі підтримки, що не варто дурити ваших клієнтів, кажучи їм, що такий злам відбувся внаслідок “дірок” в безпеці WordPress чи якоїсь иншої CMS.

    Сподіваюсь ви розумієте, що ваша відповідь буде важливою для вирішення питання, чи продовжувати мені розміщуватись на вашому сервері. Тому будьласка, спробуйте надати повну й посутню відповідь з порушених питань.

    Бо мені видавалося, що чималі гроші, які я сплачую за ваші послуги, можуть слугувати свого рода гарантією від такого випадків. Невже я так сильно помилявся? “

  8. GUeST каже:

    Криворукие админы, а не хостинговая компания, по большому счету виноваты сами. Пусть почитают мануалы по атрибутам и правам, а потом ставят 775 и 777 и поверьте долго ждать не придется. Оно само придет))

  9. MustLive каже:

    GUeST

    Естественно, админы также виноваты - и некорректная установка прав могла сыграть свою роль в этом и в других массовых дефейсах (как она часто играет роль при взломах сайтов). Но и хостер со своей стороны должен приложить усилия, чтобы с сайтов одного аккаунта нельзя было добраться к другим аккаунтам - неважно ли сам владелец сайта решил провести атаку, или его сайт взломали и через него атакуют другие сайты на сервере.

    А данный хостер достаточных усилий не приложил. Как и многие другие хостеры, о которых я писал в новостях. Например, у Delta-X на 5 взломанных серверах было в сумме дефейснуто 11065 сайтов.

Leave a Reply

You must be logged in to post a comment.