Масовий взлом сайтів на сервері 1GB
22:41 20.09.2011В період з 09.08.2010 по 11.08.2011 відбувся масовий взлом сайтів на сервері 1GB (по 13 сайтів в 2010 і 2011 році). Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер української компанії 1GB. Взлом, що складався з серії взломів (під час яких взломувалися по одному або декілька сайтів), відбувся приблизно в той же час як і згаданий масовий взлом сайтів на сервері Freehost.
Всього було взломано 26 сайтів на сервері української компанії 1GB (IP 195.234.4.52). Це наступні сайти: www.kyivobljust.gov.ua, www.ukrprodresurs.com.ua, www.ffgn.org.ua, palar.com.ua, antares-co.com.ua, hram-krasoty.com.ua, morozovmebel.com, www.s-mobila.com.ua, www.a-e.com.ua, maximhorses.com, oberegy.lviv.ua, stroyderevo.com.ua, www.sopromat.kiev.ua, albomu.com.ua, decibel.com.ua, real-estate.ltd.ua, budka.net.ua, www.zerg.com.ua, marketzoo.com.ua, www.vorzelkurort.com.ua, kreativ.dp.ua, mykolaivka.com.ua, patatuyki.com.ua, kavaratake.com, www.artgallery-nadezhda.com.ua, www.informnk.com.ua. Серед них український державний сайт www.kyivobljust.gov.ua.
26 зазначених сайтів були взломані наступними хакерми: Ashiyane Digital Security Team, iskorpitx, Metropolis, 1923Turk, VHZ-CREW, kaMtiEz, By_aGReSiF, rkh, Hmei7, queSt, AlbanianHackersGr0up та K-E-H.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).
Понеділок, 13:48 02.01.2012
На новорічні свята на 1GB.ua відбулася повторна подія - масовий злам сайтів на цьому ж IP. Про кількість сказати не можу, але хостер надіслав ось таке повідомлення:
****************
В новогодние праздники произошел взлом некоторых сайтов хостинга,
который чаще всего выглядел как удаление одной или нескольких таблиц
из баз данных mySQL.
Анализ показал, что злоумышленник подключался к базам данных mySQL
извне с использованием пароля вашей базы данных.
Для того, чтобы обеспечить сохранность ваших данных, мы предприняли
ряд мер, которые затруднят подключение, но мы также приняли решение
немедленно изменить пароль на mySQL базу данных для одной или более
баз вашего аккаунта.
Затронута база данных: gbua_ХХХХХХХ
К сожалению в этой ситуации ваш сайт вероятно прекратит работу,
так как в конфигурационных файлах вашего сайта хранится старый пароль.
Для продолжения работы необходимо посмотреть текущий пароль к базе
данных на странице “пароли на ресурсы” в личном кабинете,
и затем прописать его в конфигурационный файл вашего сайта по FTP.
Файл называется обычно configuration.php, settings.php, db_connect.php
или как-то аналогично.
В том случае, если сами вы не сможете этого сделать, служба поддержки
сделает это за вас по обращению на support@1gb.ua, в обращении
не забывайте пожалуйста указывать адрес вашего сайта.
Мы также постараемся самостоятельно заменить пароль в ваших файлах
на актуальный, но это может занять некоторое время.
*****************
В моєму випадку “злам” проявився і обмежився видаленням однієї таблиці з бази. Як на мене - дивний злам
Вівторок, 00:22 03.01.2012
Володимир
Спасибі за інформацію. Інцидент звісно не типовий. Враховуючи, що це не дефейс, то даних про цей випадок на zone-h.org немає. Тому, щоб визначити скільки сайтів постраждало потрібно звертатися до хостера - можеш до 1GB.ua написати листа, як їхній клієнт, мовляв тобі цікавий масштаб атаки на сервер. Бо цікаво було б дізнатися, скільки сайтів було пошкоджено внаслідок атаки.
В даному випадку маємо акт вандалізму. А видаленням файлів чи таблиць з БД займаються лише підараси. Тому залишається відкритим питання чому таких людей занесло на свята на ваш сервер
.
Цей акт вандалізму міг статися як від немає чого робити, так і як цілеспрямована акція - проти хостера, чи проти одного-декількох клієнтів (на цьому сервері, а іншим таблиці видалили “за компанію” чи для приховання справжньої цілі атаки). Якщо таблиця важлива, то видалення навіть однієї таблиці призведе до зупинки роботи сайта. Це такий варіант проведення DoS атаки на сайт.