Архів для категорії 'Дослідження'

Хакерська активність в Уанеті в 2 півріччі 2018

22:40 29.06.2019

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2018 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Дані про атаки на веб сайти додам після завершення аналізу масових дефейсів.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2018 року - за період з 01.07.2018 по 31.12.2018. Пізніше наведу деталі про взломи і DDoS атаки, а зараз про інфікування сайтів.

Також були інфіковані 70 сайтів, які вірогідно були похакані в минулому році. Що стільки ж як кількість інфікованих сайтів в другій половині 2017.

Інфіковані сайти у другій половині 2018 року: cleanfield.com.ua, my-webpage.at.ua, mcpf.com.ua, ramprulad.com.ua, windows-soft.at.ua, kupi-vip.com.ua, flatout.at.ua, 221b.com.ua, autopartsnetwork.com.ua, voprosnik.top, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, www.samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, admiral.myftp.biz, obnovlenie-nod32.work, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, s1.pcw.pp.ua.

Серед них є сайти з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2018 рік.

Похакані сайти №363

19:38 27.06.2019

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://zaksoc.gov.ua (хакером nofawkX-al) - 18.02.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ukravtodor.gov.ua (українським хакером) - 30.04.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://allkherson.com.ua (хакером MR.GREEN) - 16.04.2019 - зараз сайт вже виправлений адмінами
  • http://aleksandr-savchuk.com (хакером MouseSec) - 25.04.2019 - зараз сайт вже виправлений адмінами
  • http://mockup-angels.com (хакером MouseSec) - 25.04.2019 - зараз сайт вже виправлений адмінами

Інфіковані сайти №298

20:02 25.06.2019

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://221b.com.ua - інфекція була виявлена 28.11.2018. Зараз сайт не входить до переліку підозрілих
  • http://autopartsnetwork.com.ua - інфекція була виявлена 28.11.2018. Зараз сайт не входить до переліку підозрілих
  • http://voprosnik.top - інфекція була виявлена 29.11.2018. Зараз сайт не входить до переліку підозрілих
  • http://aist-it.com - інфекція була виявлена 06.12.2018. Зараз сайт не входить до переліку підозрілих
  • http://cesan-yuni.com - інфекція була виявлена 17.12.2018. Зараз сайт не входить до переліку підозрілих

Масовий взлом сайтів на сервері Forward Hosting

22:49 30.05.2019

Торік року відбувся масовий взлом сайтів на сервері Forward Hosting. Він відбувся 18.03.2018 і ще по одному сайту в 2016 і 2017 роках.

Був взломаний сервер української компанії Forward Hosting. Взлом, що складався з масового дефейсу та двох окремих дефейсів, відбувся після масового взлому сайтів на сервері Ukraine.

Всього було взломано 183 сайти на сервері хостера Forward Hosting (IP 193.151.241.226). Перелік сайтів можете подивитися на www.zone-h.org.

З них 181 сайтів були взломані хакерами з TeaM_CC, один сайт хакером Hanedan ANT і один сайт хакером NG689Skw.

Масовий дефейс хакерами з TeaM_CC явно були зроблений через взлом серверу хостінг провайдера. Всі окремі дефейси по одному сайту явно були зроблені при взломах окремих сайтів.

Похакані сайти №362

16:25 29.05.2019

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://tet.gov.ua (хакером Kripton) - 04.11.2018 - похаканий державний сайт зараз сайт вже виправлений адмінами
  • http://kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://lubnyzem.gov.ua (хакером Mo3Gza HaCkEr) - 12.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://rada.konotop.org (хакером Imam) - 16.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://konotop-rada.gov.ua (хакером Inconnu Dz) - 26.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами

Інфіковані сайти №297

22:10 27.05.2019

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://auto-zakaz.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
  • http://ramprulad.com.ua - інфекція була виявлена 01.09.2018. Зараз сайт не входить до переліку підозрілих
  • http://windows-soft.at.ua - інфекція була виявлена 17.09.2018. Зараз сайт не входить до переліку підозрілих
  • http://kupi-vip.com.ua - інфекція була виявлена 18.10.2018. Зараз сайт не входить до переліку підозрілих
  • http://flatout.at.ua - інфекція була виявлена 01.11.2018. Зараз сайт не входить до переліку підозрілих

Десятий масовий взлом сайтів на сервері Ukraine

20:01 13.04.2019

Торік року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 16.03.2015 по 09.10.2018. Дев’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з декількох масових дефейсів та багато окремих дефейсів.

Всього було взломано 96 сайтів на сервері хостера Ukraine (IP 185.68.16.175). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти mev.gov.ua та dffd.gov.ua.

З них 24 сайти були взломані хакером MuhmadEmad, 18 сайтів хакерами з BD GREY HAT HACKERS, 16 сайтів хакером ZoRRoKiN, 14 сайтів хакером Bulut та інші сайти іншими хакерами.

Масові дефейси хакерами MuhmadEma, BD GREY HAT HACKERS, ZoRRoKiN і Bulut явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Веб додатки на інфікованих сайтах в 1 півріччі 2018 року

17:20 12.04.2019

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2018, я згадував, що в першому півріччі було інфіковано 79 сайтів (з них 1 державний сайт).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2018 року, і на 40 сайтах вдалося виявити движки. Частина з 79 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Похакані сайти №361

22:45 10.04.2019

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://old.bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://uzh-rajrada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://gostomel-rada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://pereyaslav-rda.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 18.09.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://zt.gov.ua (хакером KuzoTR) - 28.10.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://absurd.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018, зараз сайт вже виправлений адмінами
  • http://barkar.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018, зараз сайт вже виправлений адмінами
  • http://apteka450.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018, зараз сайт вже виправлений адмінами
  • http://lituta.com.ua (хакером Mister Spy) - 27.10.2018, зараз сайт вже виправлений адмінами
  • http://realty-ukraina.com (хакером Mister Spy) - 30.10.2018, зараз сайт вже виправлений адмінами

Інфіковані сайти №296

20:34 09.04.2019

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://svitmebliv.cn.ua - інфекція була виявлена 17.06.2018. Зараз сайт не входить до переліку підозрілих
  • http://mebel-m.com.ua - інфекція була виявлена 20.08.2018. Зараз сайт не входить до переліку підозрілих
  • http://cleanfield.com.ua - інфекція була виявлена 01.09.2018. Зараз сайт не входить до переліку підозрілих
  • http://my-webpage.at.ua - інфекція була виявлена 06.09.2018. Зараз сайт не входить до переліку підозрілих
  • http://mcpf.com.ua - інфекція була виявлена 24.09.2018. Зараз сайт не входить до переліку підозрілих