П’ятий масовий взлом сайтів на сервері HostPro

20:33 01.12.2011

В серпні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2010 - 2011 років: 18.11.2010, 03.05.2011, 02.08.2011-03.08.2011 та 06.10.2011. Четвертий масовий взлом сайтів на сервері HostPro відбувся у цей же період.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (65 сайтів) та трьох окремих дефейсів по одному сайту.

Всього було взломано 68 сайтів на сервері хостера HostPro (IP 194.28.85.14). Це наступні сайти: vitamon.in.ua, gameboykiev.com, www.gemmagee.com.ua, gtbs.com.ua, www.jemchyjina.lg.ua, www.mariphoto.com.ua, revcenter.com.ua, simvola.net, kap-center.com, lookaround.com.ua, linenofdesna.com, www.rapsoil.ua, sprgroup.com.ua, kaletin.com.ua, elvi.ua, okna-sbi.com.ua, pilotsunion.org.ua, mykomfort.com.ua, 5-s.com.ua, smirnov-auto-parts.com.ua, pidhrushna.te.ua, motorvent.com.ua, startup-az.com, www.starfrut.com.ua, edimvkusno.in.ua, stoness.info, summ.com.ua, akpp.vn.ua, www.starprint.com.ua, auto-fleet.com.ua, atm.zp.ua, www.ctgt.com.ua, technoimpuls.com.ua, suntruth.com.ua, auto-key.kiev.ua, tehmash.com, tiandeua.com, tmark.com.ua, tiens.ternopil.ua, www.tradeimport.com.ua, ukrainepoker.com.ua, www.ukrlog.com.ua, volksauto.com.ua, ukray.com.ua, vaibit.org, ulianarudich.com.ua, ukr-resins.com, www.urologist.kiev.ua, d-revival.com.ua, dt.crimea.ua, diogo.com.ua, dtg-electric.com, dom-tm.com.ua, don.biz.ua, donmet.com.ua, brooklyn-club.com.ua, billiard.co.ua, bpsbltd.com, actionlife.com.ua, artime.com.ua, atlant-otel.ru, ccroma.info, vostanovlenie.com.ua, trempel.tv, rynokukr.com.ua, ac.com.ua, www.zamok-markizy.kiev.ua, ekovka.com.ua.

З зазначених 68 сайтів 66 сайтів були взломані хакерами з RKH, 1 сайт хакером iskorpitx та 1 сайт хакером merci1994.

Окрім трьох окремих дефейсів по одному сайту, стосовно масового дефейсу сайтів можна сказати, що враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.


2 відповідей на “П’ятий масовий взлом сайтів на сервері HostPro”

  1. Hostpro каже:

    Сломали двух пользователей, через уязвимости в плагинах Джумлы и вордпреса. После чего перловым скриптом залинковали все популярные конфигурационные файлы. Получив таким образом доступ к паролям БД указанным в них и паролям ФТП. Собственно это еще раз указывает на то, что защита сайта в первую очередь и в большинстве случаев зависит от самих вебмастеров.
    Два виновника были сразу закрыты, данные пострадавших восстановлены с бекапов. На сервере отключили ряд возможностей, которые теперь будут включаться, только по запросу.
    Рады буде выслушать ваши комментарии по возможному противодействию подобных случаев. Пишите на volos_86[@]hostpro.ua

  2. MustLive каже:

    Hostpro

    Всё правильно вы сделали. Лишний функционал на сервере может быть использован для атаки, например для доступа к аккаунтам других пользователей. А начальным вектором атаки будет взлом любого сайта на сервере.

    И хотя основной защитой сервера является защита сайтов на нём, но дырявые сайты всегда были и будут. Поэтому серверное ПО и настройки сервера не должны быть самым слабым звеном. Ведь этот массовый дефейс стал возможен через перелинковку (для доступа к произвольным аккаунтам). А т.к. слабые звенья в виде сайтов пользователей будут всегда, то нужно, чтобы сам сервер был безопаснее отдельных сайтов.

Leave a Reply

You must be logged in to post a comment.