П’ятий масовий взлом сайтів на сервері HostPro
20:33 01.12.2011В серпні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2010 - 2011 років: 18.11.2010, 03.05.2011, 02.08.2011-03.08.2011 та 06.10.2011. Четвертий масовий взлом сайтів на сервері HostPro відбувся у цей же період.
Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (65 сайтів) та трьох окремих дефейсів по одному сайту.
Всього було взломано 68 сайтів на сервері хостера HostPro (IP 194.28.85.14). Це наступні сайти: vitamon.in.ua, gameboykiev.com, www.gemmagee.com.ua, gtbs.com.ua, www.jemchyjina.lg.ua, www.mariphoto.com.ua, revcenter.com.ua, simvola.net, kap-center.com, lookaround.com.ua, linenofdesna.com, www.rapsoil.ua, sprgroup.com.ua, kaletin.com.ua, elvi.ua, okna-sbi.com.ua, pilotsunion.org.ua, mykomfort.com.ua, 5-s.com.ua, smirnov-auto-parts.com.ua, pidhrushna.te.ua, motorvent.com.ua, startup-az.com, www.starfrut.com.ua, edimvkusno.in.ua, stoness.info, summ.com.ua, akpp.vn.ua, www.starprint.com.ua, auto-fleet.com.ua, atm.zp.ua, www.ctgt.com.ua, technoimpuls.com.ua, suntruth.com.ua, auto-key.kiev.ua, tehmash.com, tiandeua.com, tmark.com.ua, tiens.ternopil.ua, www.tradeimport.com.ua, ukrainepoker.com.ua, www.ukrlog.com.ua, volksauto.com.ua, ukray.com.ua, vaibit.org, ulianarudich.com.ua, ukr-resins.com, www.urologist.kiev.ua, d-revival.com.ua, dt.crimea.ua, diogo.com.ua, dtg-electric.com, dom-tm.com.ua, don.biz.ua, donmet.com.ua, brooklyn-club.com.ua, billiard.co.ua, bpsbltd.com, actionlife.com.ua, artime.com.ua, atlant-otel.ru, ccroma.info, vostanovlenie.com.ua, trempel.tv, rynokukr.com.ua, ac.com.ua, www.zamok-markizy.kiev.ua, ekovka.com.ua.
З зазначених 68 сайтів 66 сайтів були взломані хакерами з RKH, 1 сайт хакером iskorpitx та 1 сайт хакером merci1994.
Окрім трьох окремих дефейсів по одному сайту, стосовно масового дефейсу сайтів можна сказати, що враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.
Неділя, 20:43 04.12.2011
Сломали двух пользователей, через уязвимости в плагинах Джумлы и вордпреса. После чего перловым скриптом залинковали все популярные конфигурационные файлы. Получив таким образом доступ к паролям БД указанным в них и паролям ФТП. Собственно это еще раз указывает на то, что защита сайта в первую очередь и в большинстве случаев зависит от самих вебмастеров.
Два виновника были сразу закрыты, данные пострадавших восстановлены с бекапов. На сервере отключили ряд возможностей, которые теперь будут включаться, только по запросу.
Рады буде выслушать ваши комментарии по возможному противодействию подобных случаев. Пишите на volos_86[@]hostpro.ua
Неділя, 19:04 28.07.2013
Hostpro
Всё правильно вы сделали. Лишний функционал на сервере может быть использован для атаки, например для доступа к аккаунтам других пользователей. А начальным вектором атаки будет взлом любого сайта на сервере.
И хотя основной защитой сервера является защита сайтов на нём, но дырявые сайты всегда были и будут. Поэтому серверное ПО и настройки сервера не должны быть самым слабым звеном. Ведь этот массовый дефейс стал возможен через перелинковку (для доступа к произвольным аккаунтам). А т.к. слабые звенья в виде сайтов пользователей будут всегда, то нужно, чтобы сам сервер был безопаснее отдельных сайтов.