Websecurity - Веб безпека

У жовтні місяці відбувся масовий взлом сайтів на сервері Garant-Park-Telecom. Це російський хостер, але багато сайтів з України. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер російської компанії Garant-Park-Telecom. Взлом відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 246 сайтів, з них 218 українських сайтів на сервері Garant-Park-Telecom (IP 89.111.170.128). Це наступні сайти: cayman.raskone.silver.biz.ua, convictus.kiev.ua, convictus.com.ua, chuguy.make.silver.biz.ua, doshkilnyatko.com.ua, elistom.frcbc.silver.biz.ua, carpeta.com.ua, cargogruzcom.leon49.silver.biz.ua, bypillsn.silver.biz.ua, biotech-system.make.silver.biz.ua, bimboka.dp.ua, grafskates.silver.biz.ua, imw.com.ua, duschy.com.ua, cult.sk.silver.biz.ua, green-wheel.com.ua, homeopat.dp.ua, gabro.com.ua, edoctor.com.ua, live.toni.silver.biz.ua, online.roman2.silver.biz.ua, apkservice.com.ua, andariys.monument.com.ua, adv-dva.sk.silver.biz.ua, abdomed.com.ua, acg.com.ua, kamerton.in.ua, 4dkino-com.koreyko.silver.biz.ua, manzuk.silver.biz.ua, lemonchic.com.ua, nika.dn.ua, andriy2.silver.biz.ua, dj.vadimzp2.silver.biz.ua, alexroll.silver.biz.ua, bankomat.convictus.org.ua, baz.kiev.ua, bazoka.silver.biz.ua, newrealtor.contur.net.ua, carpeta.ua, churchan.silver.biz.ua, climate.lviv.ua, contur.org.ua, contur.net.ua, com.victorcg.silver.biz.ua, conturorg.contur.net.ua, convictusnet.convictus.org.ua, convictus.org.ua, dnepr-co-ua.koreyko.silver.biz.ua, digestin.com.ua, dizel.silver.biz.ua, dmitriys.silver.biz.ua, dom.silver.biz.ua, domomania.contur.net.ua, domus.biz.ua, doshkilnyatko.contur.net.ua, dti.com.ua, eflet.silver.biz.ua, edoctor.webvideo.com.ua, eflet2.silver.biz.ua, o-hutorok.lnxd.silver.biz.ua, elistom.com.ua, psytron.com.ua, eugenevi.silver.biz.ua, etalon.uz.ua, eye.poltava.ua, fiat-lux.com.ua, forsale.co.ua, forofis.com.ua, lifeinmo.silver.biz.ua, roman2.silver.biz.ua, forsale.lviv.ua, frcbc.silver.biz.ua, geo-vision.com.ua, gbyte.silver.biz.ua, gindia.silver.biz.ua, gotovimvodu.com.ua, group.irochkon.silver.biz.ua, ibanez.silver.biz.ua, gts.org.ua, imwuser1.lnxd.silver.biz.ua, inlanger2.silver.biz.ua, iyt.com.ua, ivanushk.silver.biz.ua, iyt.yachtcharter.com.ua, sk.silver.biz.ua, sonyashnik.kiev.ua, nazard.silver.biz.ua, statusatm.com.ua, stroy.irochkon.silver.biz.ua, shlyah.contur.net.ua, td-himinvest.com.ua, irochkon.silver.biz.ua, kg-dp-ua.koreyko.silver.biz.ua, konstantin.avsz.silver.biz.ua, koreyko.silver.biz.ua, toni.silver.biz.ua, laminatparket.contur.net.ua, leon49.silver.biz.ua, letmesee.sk.silver.biz.ua, ttholod.com.ua, live.roman2.silver.biz.ua, lnxd.silver.biz.ua, main.victorcg.silver.biz.ua, makintosh.ks.ua, make.silver.biz.ua, maks-tour.com.ua, test1.nika.dn.ua, test.nika.dn.ua, ustav.silver.biz.ua, masterprint.com.ua, teploagent.com.ua, usedboats.com.ua, monument.com.ua, mykolaivka-rada.nika.dn.ua, montessori.org.ua, nacional.contur.net.ua, net.victorcg.silver.biz.ua, newboats.com.ua, newboats.yachtcharter.com.ua, newborn.silver.biz.ua, newrealtor.com.ua, vika.vadimzp2.silver.biz.ua, npoenergy.com.ua, olside.silver.biz.ua, orfey.acg.com.ua, orfey.com.ua, yachtmarina.yachtcharter.com.ua, parketmaster.com.ua, ozerniyhutorok.lnxd.silver.biz.ua, patmari.odessa.ua, pelmen.silver.biz.ua, pavlo.com.ua, pavlo.webvideo.com.ua, plantro.com.ua, polorsade.raskone.silver.biz.ua, prestige-life.com.ua, privatblog.vadimzp2.silver.biz.ua, pumping.com.ua, raskoua.raskone.silver.biz.ua, rasko.ua, raskone.silver.biz.ua, reebok.silver.biz.ua, resume.co.ua, retriver.net.ua, review.vadimzp2.silver.biz.ua, retion.silver.biz.ua, robingood.contur.net.ua, robingood.com.ua, rudi.dizel.silver.biz.ua, snooker.in.ua, snooker.contur.net.ua, startinukraine.webvideo.com.ua, stas.standov.silver.biz.ua, artfresh.silver.biz.ua, standov.silver.biz.ua, suvenirtr.silver.biz.ua, sunnyart.make.silver.biz.ua, ticketcom.acg.com.ua, tofs.roman2.silver.biz.ua, asu.silver.biz.ua, ukrfer.silver.biz.ua, unberto2.silver.biz.ua, usedboats.yachtcharter.com.ua, vadimzp.silver.biz.ua, vadimzp2.silver.biz.ua, venol-oil.silver.biz.ua, venol.com.ua, victorcg.silver.biz.ua, vitakor.silver.biz.ua, vitohaus.silver.biz.ua, august.silver.biz.ua, art-rcom.contur.net.ua, www1.elistom.com.ua, yachtmarina.com.ua, yachtcharter.com.ua, zdorovka.lnxd.silver.biz.ua, zoj.com.ua, avtoguru.contur.net.ua, artgallery.contur.net.ua, ask-complex.ask-complex.com.ua, arm-dp-ua.koreyko.silver.biz.ua, aquaritm.koreyko.silver.biz.ua, ask-complex.kiev.ua, audioline.com.ua, aviasvit.olside.silver.biz.ua, avsz.silver.biz.ua, avsn.avsz.silver.biz.ua, artland4you.videoxxi.silver.biz.ua, apkservicecomua.lnxd.silver.biz.ua, avtey.com.ua, www-promin-info.make.silver.biz.ua, garden-ua.com, skulptura-granit-mramor.monument.com.ua, art-r.com.ua, sculpture-granit-mramor.monument.com.ua, aspi.in.ua, pottery-park.koreyko.silver.biz.ua, artgallery.in.ua, provodov-net-ua.koreyko.silver.biz.ua, ask-complex.com.ua, nord-1-dp-ua.koreyko.silver.biz.ua, yonex.com.ua, fast-start-crimea-ua.make.silver.biz.ua, suvenir.com.ua, cinematix4d-com.koreyko.silver.biz.ua, turboam.com.ua, cinematix-org.koreyko.silver.silver.biz.ua, tess.in.ua, tess.contur.net.ua, alant-biz-ua.koreyko.silver.biz.ua, akalaboratory-dp-ua.koreyko.silver.biz.ua, synergos.com.ua, alina-karina-com.koreyko.silver.biz.ua, sgifts.com.ua, master-biz-ua.koreyko.silver.biz.ua, silver.biz.ua, foreign-realestate.koreyko.silver.biz.ua, www.slavuta-mvk.gov.ua. Серед них український державний сайт www.slavuta-mvk.gov.ua (дуже дивно бачити gov.ua сайт, що хоститься в іншій державі - всі державні сайти повинні хоститися у власній державі).

Всі сайти були взломані 12 жовтня 2010 року. Дефейси 217 (245) сайтів проведено хакером GHoST61 і 1 сайта хакером з By_aGReSiF.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

За повідомленням hackzona.com.ua, новий варіант Zeus атакує клієнтів банків через перехоплення SMS-повідомлень.

Гучний банківський троян Zeus повертається до користувачів в новому образі - Mitmo. Нова версія Zeus націлена на призначені для користувача стільникові телефони, перехоплюючи SMS-повідомлення від банківських сервісів і користувачів, і сподіваючись перехопити банківські реквізити або логіни / паролі для систем доступу до онлайн-банкінгу. Очевидно, що даний крок хакерів спрямований на обхід систем двофакторної аутентифікації, які за останній час банки почали активно розгортати.

За повідомленням www.xakep.ru, ФБР заарештувала хакерів за витік даних про користувачів iPad.

Два дослідники систем безпеки були арештовані в справі, пов’язаній з витоком інформації, що піддала ризику більш 100000 користувачів iPad.

Федеральне Бюро Розслідувань США сказали, що заарештували дослідників системи безпеки компанії Goatse Security Ендрю Орнхаймера і Деніела Шпітлера за їхні ролі у витоку користувацької бази даних AT&T, що відбулася в червні 2010 року.

За повідомленням www.3dnews.ru, на WordPress зроблена масштабна DDoS-атака.

На початку березня найбільша у світі платформа для ведення блогів WordPress (wordpress.com) піддалася найбільш масованій в історії DDoS-атаці, у результаті чого безліч блогів стали недоступні.

Відповідно до повідомлення материнської компанії Automattic, під час атаки на сервери посилалося по декілька мільйонів пакетів інформації в секунду.

Нещодавно, 09.03.2011, я виявив фішинг атаку на клієнтів ПриватБанку - на користувачів Приват24. В той день я отримав два однакових фішерських листи (на два моїх емайли) з темою “PrivatBank: New security notification” стосовно змін в системі Приват24 і рекомендацією терміново відвідати власний акаунт П24 (що є типовою схемою для фішинга).

Зазначу, що сам я не користуюся Приват24, але фішинг листи все ж таки отримав . Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я іноді взаємодіяв з цією системою.

Обидва листи були відправлені з серверів англійського хостинг-провайдера uk2.net. В обох листах використовувалось ідентичне шахрайське повідомлення, що вело на фішерський сайт для крадіжки облікових даних користувачів П24. Відправка фішінг-листів відбувалась через Perl-скрипт.

Сам фішинг сайт розміщувався на сайті www.abc-centraltaxis.com, що також хоститься у цього ж провайдера (в одній з папок сайта - http://www.abc-centraltaxis.com/login.privatbank.ua/). Вірогідно даний сайт був взломаний для проведення фішинг атаки на користувачів П24. Зараз фішерських сторінок (всієї папки login.privatbank.ua) вже немає на даному сайті.

Це поширений підхід, коли фішери розміщують свої фішерськи веб-сторінки на існуючих сайтах (що вони взломали). В Уанеті такі випадки також регулярно трапляються, про що я знаю зокрема з розповідей людей, які звертаються до мене за аудитом безпеки.

Виявлені численні уразливості безпеки в Firefox, Seamonkey, Thunderbird.

Уразливі продукти: Mozilla Firefox 3.6, SeaMonkey 2.0, Thunderbird 3.1.

Численні пошкодження пам’яті, переповнення буфера, використання пам’яті після звільнення, міжсайтовий скриптінг і підміна запитів.

• Mozilla Firefox JSON.stringify Dangling Pointer Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2011-10 (деталі)
• Mozilla Foundation Security Advisory 2011-09 (деталі)
• Mozilla Foundation Security Advisory 2011-08 (деталі)
• Mozilla Foundation Security Advisory 2011-07 (деталі)
• Mozilla Foundation Security Advisory 2011-06 (деталі)
• Mozilla Foundation Security Advisory 2011-05 (деталі)
• Mozilla Foundation Security Advisory 2011-04 (деталі)
• Mozilla Foundation Security Advisory 2011-03 (деталі)
• Mozilla Foundation Security Advisory 2011-02 (деталі)
• Mozilla Foundation Security Advisory 2011-01 (деталі)

У вересні місяці відбувся масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Freehost. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Inter-Telecom. Окрім основного (масового) взлому, були ще декілька невеликих взломів сайтів на даному сервері до і після цього інцеденту.

Всього в 2010-2011 роках було взломано 78 сайтів на сервері Freehost (IP 194.0.200.30). Це наступні сайти: www.your-brand.kiev.ua, general-brend.com.ua, www.efremov.kiev.ua, www.bibliotekaoz.com, www.report.if.ua, bilders.com.ua, masterknig.com.ua, masterknyg.com.ua, rotor-dv.com.ua, lawbrothers.com.ua, www.elitmoda.com.ua, www.podobovo.biz, www.caritas.if.ua, www.teksa.com.ua, drupal.ukrface.org.ua, www.studweek.org, www.styknews.info, www.ukrface.org.ua, www.vatikan.com.ua, www.studiya-igr.com.ua, www.relife.com.ua, www.sundara.com.ua, catalog.erkc.com.ua, jobs.alfa-personal.com.ua, www.alfa-dom.com.ua, www.alfa-personal.com.ua, www.erkc.com.ua, www.femida-online.com.ua, www.alliance-chemistry.com.ua, www.artmedia.dp.ua, www.colorart.com.ua, www.fabrika.gov.ua, www.filatovich.com, www.fit4you.dp.ua, www.gods.in.ua, www.hlpu.in.ua, www.nfuk.org.ua, www.novahvilya.org.ua, www.sharu.in.ua, www.inazuma.dn.ua, www.intermarr.com.ua, www.klimova.com.ua, littlestar.com.ua, www.master.ks.ua, www.mebel-megalux.com.ua, www.migexpo.kiev.ua, www.mykhail-krugliak.org.ua, www.naytov.net, www.nvcompany.com.ua, www.palladium.in.ua, www.goldenkey.com.ua, www.permyakov.info, www.lc-femida.com.ua, www.bomond-club.com.ua, www.burbbery.com.ua, www.timeresort.com.ua, www.retriever-db.com.ua, www.rk-ukraina.com, www.honda-shop.net, www.shopsex.in.ua, www.sichstudio.com, www.mebliki.kiev.ua, www.msio.com.ua, beta.bpf-ukraine.com.ua, maegrafik.in.ua, www.business-tour.com.ua, www.business-realt.com.ua, absolute-ukraine.com.ua, athome.in.ua, elegido.in.ua, gcapital.com.ua, lawyer-dan.in.ua, lmg.net.ua, na-5.org.ua, sessia-plus.org.ua, xxicentury-immigration.com, passionstyle.com.ua, www.dpks.dp.ua. Серед них український державний сайт www.fabrika.gov.ua.

Більшість з зазначених сайтів була взломана 07 вересня 2010 року. А також було ще декілька окремих дефейсів (перед і після цього масового взлому проведеного The KabuS): 01.03.2010, 18.05.2010, 16.08.2010, 17.08.2010, 24.08.2010, 24.08.2010, 10.09.2010, 30.09.2010, 17.11.2010 та 27.02.2011. Дефейси 52 сайтів проведено хакером The KabuS, 6 сайтів хакерами з K-N-S, 1 сайта хакером sr1_0d0nk, 17 сайтів хакерами з AHG, 1 сайта хакерами з AH-Crew і 1 сайта хакерами з KTN.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

09.02.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7 та 8 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Численні пошкодження пам’яті, небезпечне завантаження бібліотек.

• Microsoft Security Bulletin MS11-003 - Critical Cumulative Security Update for Internet Explorer (деталі)

08.03.2011

Додаткова інформація.

• Microsoft Internet Explorer “mshtml.dll” Dangling Pointer Vulnerability (деталі)

За повідомленням hackzona.com.ua, у Java проявилася вразливість при обробці чисел з плаваючою комою.

У січні в інтерпретаторі PHP була виправлена уразливість, що дозволяє викликати зависання процесу при виконанні операцій c деякими числами з плаваючою комою. Уразливість проявлялася тільки при використанні в процесі перетворення чисел x87 FPU-регістрів.

Як виявилося, до цієї проблеми схильний не тільки інтерпретатор PHP, але і віртуальна машина Java.

За повідомленням www.xakep.ru, хакер обвинувачений у перекачуванні грошей розробника ПЗ.

Передбачуваний хакер був обвинувачений у вторгненні в електронні системи Digital River і спробі переправити більш $274000 на акаунт, що знаходиться під його контролем.

За повідомленням www.3dnews.ru, Google запропонувала двоступінчастий механізм аутентифікації.

З метою більш надійного захисту користувацьких облікових записів у системі служб Google, фахівці пошукового гіганта вирішили застосувати механізм двоступінчастої аутентифікації. Крім стандартного пароля, застосовуваного для входу в обліковий запис, тепер можна за бажанням використовувати додатковий механізм.

Учора відбувся масовий взлом сайтів на сервері Faust. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Faust. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 60 сайтів на сервері Faust (IP 195.68.203.245). Це наступні сайти: stc.kiev.ua, activtrade.com.ua, aeg.kiev.ua, agrogest.com.ua, alkor.org.ua, alum.org.ua, amistad.com.ua, ariy.com.ua, artdecor-pro.com.ua, artsv.com.ua, artsv.kiev.ua, avesta.org.ua, best-photovideo.com.ua, bestmedia.kiev.ua, blaucraft.kiev.ua, coe.kiev.ua, colorlumen.com.ua, csdi.kiev.ua, dnsgb.kiev.ua, doctorignatyev.com, expert-ltd.org, fa.kiev.ua, gardiny.kiev.ua, goloseevo.kiev.ua, granduspeh.com.ua, grantes.com.ua, indystria.com.ua, intex.net.ua, itf-taekwondo.org.ua, kaskad.kiev.ua, kolight.org.ua, korneichuk.kiev.ua, kvinta.com.ua, lupus.kiev.ua, mairis.com, map.faust.net.ua, meblis.kiev.ua, medbud.kiev.ua, meddim.com.ua, meregi.kiev.ua, natasha.kiev.ua, oko.org.ua, ortomedina.com.ua, osc-distributor.com.ua, pak.kiev.ua, pak.net.ua, pronetukr.kiev.ua, qualita-mn.com.ua, radiodim.kiev.ua, rm-optica.com, revopravo.kiev.ua, scwm.gov.ua, titools.com.ua, troeschina.kiev.ua, u2.faust.kiev.ua, ukraine-international.kiev.ua, ucrania-espana.com, v1.faust.net.ua, ukrpromgroup.com.ua, ukrpromgroup.kiev.ua. Серед них українські державні сайти: dnsgb.kiev.ua і scwm.gov.ua.

Всі зазначені сайти були взломані 1 березня 2011 року. Дефейси 59 сайтів проведено хакером KriptekS і 1 сайта хакером iskorpitx. А також раніше було ще два дефейси на даному сервері - 24.04.2010 взломаний сайт 220v.net.ua та 08.07.2008 сайт scwm.gov.ua.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в Oracle Java.

Уразливі продукти: Oracle JDK 5.0, JRE 6.0, JDK 6.0.

Понад 20 різний уязвимостей.

• Oracle Java Webstart Trusted JNLP Extension Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Clipboard Injection Remote Code Execution Vulnerability (деталі)
• Oracle Java XGetSamplePtrFromSnd Remote Code Execution Vulnerability (деталі)
• Oracle Java Unsigned Applet Applet2ClassLoader Remote Code Execution Vulnerability (деталі)
• Oracle Java Runtime NTLM Authentication Information Leakage Vulnerability (деталі)
• Oracle Java SE and Java for Business Critical Patch Update Advisory - February 2011 (деталі)

За повідомленням компанії IBResource, на початку 2011 року почастішали випадки проходження спамерами реєстрацій на форумах IP.Board. Це означає, що організатори цих злочинів знаходять нові шляхи обходу захисту, вбудованого в систему. Розробники безумовно продовжують роботу над удосконаленням захисту, щоб залишатися завжди на кілька кроків попереду спамерів.

Тому компанія нагадує про захисні функції, що є в IP.Board. Серед можливостей движку IPB по захисту від автоматизованих реєстрацій є наступні:

• Антиспам сервіс.
• reCAPTCHA.
• Питання-відповідь.
• Активація реєстрації по e-mail.

Використовуючи ці методи (при необхідності всі разом) ви зможете захистити ваш форум від більшості спамерів.

• Защита от массовых регистраций спамеров (деталі)