« Уразливості на mirdomov.ua
Надійність SSL сертифікатів »

Новий масовий взлом сайтів на сервері Freehost

20:14 30.08.2011

В період 24.05-25.05, 30.07-01.08 і 11.08.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи. Цього року це вже другий масовий взлом сайтів на сервері даного провайдера.

Був взломаний сервер української компанії Freehost. Взлом, що складався з трьох окремих взломів, відбувся після згаданого масового взлому сайтів на сервері Goodnet.

Всього було взломано 260 сайтів на сервері української компанії Freehost (IP 91.206.31.138). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти cr.niss.gov.ua, dn.niss.gov.ua, dp.niss.gov.ua, eng.niisp.gov.ua, kh.niss.gov.ua, lv.niss.gov.ua, od.niss.gov.ua, uz.niss.gov.ua, www.niss.gov.ua, www.nbu.gov.ua, www.niisp.gov.ua.

36 зазначених сайтів були взломані 24-25 травня 2011 року хакерами з 1923Turk, а 213 сайтів - 30.07-01.08 хакерами з RKH. Іще один сайт був дефейснутий 11 серпня хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.


This entry was posted on 20:14 30.08.2011 and is filed under Новини, Дослідження. You can follow any responses to this entry through the RSS 2.0 feed.

4 відповідей на “Новий масовий взлом сайтів на сервері Freehost”

  1. Komintern каже:
    Понеділок, 18:17 31.10.2011

    Масовые взломы - это неприятное, но вполне обычное явление.
    И причина этого отнюдь не в том, что “был получен root-доступ к серверу хостинга”. Основная причина масовых взломов - это использование клиентами популярных готовых CMS, и полное игнорирование их changelog-ов и security-фиксов. Одна найденая уязвимость в таком популярном движке может положить сотни сайтов, для этого не нужны усилия хакеров - для этого нужно всего лишь автоматизировать использование уязвимости. Дальше бот сам ищет уязвимые CMS и делает свое дело.
    “Всього було взломано 260 сайтів” - при имеющихся на сервере более 1000 сайтов это гораздо больше похоже на то, что данные акаунты использовали “дырявые” CMS, чем на то, что был получен root-доступ на сервер.
    По нашей статистике, чаще всего взлому подвергается joomla и phpbb, а также скрипт phpMyAdmin, в котором за последнее время нашли 3 серьезных уязвимости.
    Информация, что на наши сервера был получен root-доступ посторонними лицами - ничем кроме ваших домыслов не подтверждена.

  2. MustLive каже:
    Вівторок, 21:37 01.11.2011

    Масовые взломы - это неприятное, но вполне обычное явление.

    Komintern

    Так и есть, это неприятное явление, но не обычное, а правильнее сказать распространённое явление. Обычное - это когда речь идёт о нормальной ситуации, а массовые взломы - это не нормальная ситуация (которой быть не должно).

    Поэтому стоит назвать это распространённой ситуацией - причём весьма распространённой, исходя из тех многочисленных публикаций о массовых взломах в Уанете, которые я публикую с начала этого года. Точно также как распространена ситуация, когда хостеры размещают инфицированные сайты, к числу которых ваша компания также относится.

    И причина этого отнюдь не в том, что “был получен root-доступ к серверу хостинга”.

    В 100% случаях массовых взломов виноват хостер (где больше виноват, где меньше - но его вина есть всегда, помимо вины владельца дырявого сайта, которого хостер сам разместил на этом сервере, поэтому полностью несёт ответственность за своё решение). И получение root-доступа, или взлом всех сайтов в рамках одного аккаунта (когда множество сайтов есть в одном аккаунте, или когда вообще все сайты не сервере в одном аккаунте, т.е. не настроены ACL - при этом даже поднимать права не нужно) - это наиболее распространённая ситуация при массовых взломах.

    Также возможно использование различных уязвимостей сервера для доступа к сайтам в других аккаунтах и без root-прав. И лишь в небольшом количестве случаев массовый взлом состоит из индивидуальных взломов сайтов (с использованием только их дыр, без использования дыр сервера).

    Основная причина масовых взломов - это использование клиентами популярных готовых CMS,

    Вы подменяете понятия “взлома” и “массового взлома”. Это отдельные сайты на движках (коих могут быть миллионы) взламываются из-за дырявых версий ПО - на различных серверах. При массовом взломе - о котором идёт в данной публикации - взломаны сайты на одном сервере (одном хосте). И, как я уже детально описал выше, в основном в таких случаях используются дыры сервера. Когда взламывают один сайт, а через него другие (или используют дыры сервера, для ускорения атак на отдельные сайты).

    “Всього було взломано 260 сайтів” - при имеющихся на сервере более 1000 сайтов это гораздо больше похоже на то, что данные акаунты использовали “дырявые” CMS, чем на то, что был получен root-доступ на сервер.

    Я сделал полностью противоположный вывод. Вы со своей стороны можете рассказывать всё, что угодно. Я же привёл все данные о массовом взломе и свой вывод, построенный на этих данных, и каждый сможет сделать из них свой вывод.

    Количество сайтов на сервере мне не известно (и имеющиеся у меня онлайн-инструменты для этой задачи точного числа сайтов мне не назовут). Причина взлома всех или только части сайтов известна лишь взломщикам. По количеству взломанных сайтов и потраченому на это времени, можно предположить был ли это взлом сервера после взлома одного сайта, или отдельные взломы сайтов. В любом случае массовый взлом таковым и останется.

    Информация, что на наши сервера был получен root-доступ посторонними лицами - ничем кроме ваших домыслов не подтверждена.

    Так и есть. Это моё умозаключение из имеющихся данных, озвученное в последнем абзаце. Взлом 213 сайтов за период 30.07-01.08 весьма похож на использование дыр сервера (рутинг или другие методы, но в любом случае дыр допущенных провайдером). Как я уже говорил, в публикации речь идёт о массовом взломе сайтов (и факт массового взлома не зависит от методов использованных хакерами, а лишь от числа взломанных сайтов на сервере).

  3. Volodymyr каже:
    Понеділок, 13:57 02.01.2012

    Чи може автор прокоментувати два абзаци тексту?

    Один з нинішнього повідомлення цієї сторінки:

    ***************
    Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера.
    ***************

    А інший - із повідомлення http://websecurity.com.ua/5376 від 20/09:

    ***************
    Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера
    ***************

    Причини “враховуючи” майже схожі, а висновки про вірогідність зламу через сервер - зовсім протилежні.

    В чому ж правда?

  4. MustLive каже:
    Вівторок, 00:03 03.01.2012

    Вова

    Речення майже схожі, але лише на перший погляд. Потрібно лише вчитатися.

    Це різні речення, з деякими важливими відмінностями й з різними висновками. Я лише зробив другий варіант останнього абзацу (з висновком) базуючись на початковому тексті. Тому й відмінності не одразу кидаються в очі, але вони є. При цьому в другому варіанті останнього абзацу, там де немає стовідсоткової впевненості, що це окремі взломи, я додаю фразу про те, що “не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа)”.

Leave a Reply

You must be logged in to post a comment.