Архів для категорії 'Дослідження'

Веб додатки на інфікованих сайтах в 2017 році

23:55 31.07.2018

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2017 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 75 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 145 сайтів за 2017 рік. І з них на 76 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 20
uCoz - 18
WordPress - 17
DataLife Engine - 6
Drupal - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Інфіковані сайти №290

19:34 28.07.2018

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://maids.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://ndiop.kiev.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://hd-world.org - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://rev.atbmarket.com - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://s1.pcw.pp.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер

Веб додатки на інфікованих сайтах в 2 півріччі 2017 року

22:49 27.07.2018

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2017, я згадував, що в другому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2016 року, і на 35 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

uCoz - 12
Joomla - 7
WordPress - 7
Drupal - 4
DataLife Engine - 3
Bitrix - 1
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Похакані сайти №355

20:02 27.07.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://kharkiv.meteo.gov.ua (хакером KingSkrupellos) - 14.11.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017 - похаканий державний сайт, файл хакера все ще на сайті
  • http://visnyk-nanu.org.ua (хакером MuhmadEmad) - 23.04.2018, зараз сайт вже виправлений адмінами
  • http://knockdown.org.ua (хакерами Mister Spy і Darkshadow-tn) - 24.04.2018, зараз сайт вже виправлений адмінами
  • http://sinay.kiev.ua (хакером AT_7) - 31.05.2018, зараз сайт вже виправлений адмінами

Липневі DDoS атаки та взломи

20:01 26.07.2018

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

journal.iitta.gov.ua (хакером Panataran) - 17.07.2018
oblradack.gov.ua (хакерами з Team_CC) - 17.07.2018
inpsy.naps.gov.ua (хакером B4B4NN) - 18.07.2018

Інфіковані сайти №289

19:05 24.07.2018

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://60seconds.in.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://rusanovka.triolan.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://blockbuster.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://vipclub-casino.com - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://9journal.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
  • http://прочистка-канализации.kiev.ua - інфекція була виявлена 03.05.2018. Зараз сайт не входить до переліку підозрілих
  • http://test.nltu.edu.ua - інфекція була виявлена 13.05.2018. Зараз сайт не входить до переліку підозрілих
  • http://snvlk.nltu.edu.ua - інфекція була виявлена 13.05.2018. Зараз сайт не входить до переліку підозрілих
  • http://v20068.dh.net.ua - інфекція була виявлена 15.05.2018. Зараз сайт не входить до переліку підозрілих
  • http://острів.укр - інфекція була виявлена 18.05.2018. Зараз сайт не входить до переліку підозрілих

Хакерська активність в Уанеті в 2 півріччі 2017

20:07 29.06.2018

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2017 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Якщо за другу половину 2016 року в Уанеті було проведено 288 атак на веб сайти, то за другу половину 2017 року багато 307 атак на веб сайти. Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно). Ще додам дані після завершення аналізу масових дефейсів.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2017 року - за період з 01.07.2017 по 31.12.2017.

  • palace.kiev.ua (хакером з Bortecine Tim) - 01.07.2017
  • justice-dn.gov.ua (хакером maress) - 02.07.2017 - похаканий державний сайт
  • academy.smartfitness.com.ua (хакерами з chinafans) - 06.07.2017
  • man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт, це вже вдруге після взлому хакером God Attacker 20.06.2017
  • ubs.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • consumer.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • cp.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • ck-oda.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • kmu.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • archives.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • dec.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • president.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • decentralization.man.gov.ua (хакером Ayyildiz Tim-maress) - 09.07.2017 - похаканий державний сайт
  • osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • mon.gov.ua (українським хакером) - 11.07.2017 - похаканий державний сайт
  • kam-pod.km.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • testosvita.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • portal.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • old.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • new.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • dnz.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • cnap.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • 14 піддоменів osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • sobornarada.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт
  • expolviv.ua (хакером Shade) - 12.07.2017
  • DDoS на ukrposhta.ua (російськими хакерами) - 08.08.2017
  • udf.gov.ua (російські хакери) - 11.08.2017 - похаканий державний сайт
  • korostishiv-rayrada.zt.gov.ua (хакером Nizar Foxs) - 21.08.2017 - похаканий державний сайт
  • dndekc.mvs.gov.ua (хакером antivirus) - 28.08.2017 - похаканий державний сайт
  • jobhunter.com.ua (хакером PURPPOSOLES) - 04.09.2017
  • rajvosevlush.gov.ua (хакером Prosox) - 10.09.2017 - похаканий державний сайт
  • pereyaslav-rda.gov.ua (хакером Tobitow) - 18.09.2017 - похаканий державний сайт
  • pechenigi-rda.gov.ua (хакером Mister Spy) - 22.09.2017 - похаканий державний сайт
  • musics.net.ua (хакером Et04) - 22.09.2017
  • evrik.com.ua (хакером ReC0ded) - 23.09.2017
  • brelok24.eu (хакером GAZA) - 25.09.2017
  • domino.ua (хакером sohaip-hackerDZ) - 27.09.2017
  • disgvol.gov.ua (хакерами з chinafans) - 02.10.2017 - похаканий державний сайт
  • 62 сайти на сервері TheHost (різними хакерами) - 03.10.2017
  • tsdazu.gov.ua (хакером NoFace 47) - 09.10.2017 - похаканий державний сайт
  • belozirmvk.gov.ua (хакером Shade) - 19.10.2017 - похаканий державний сайт
  • bios.ua (хакером aDriv4) - 23.10.2017
  • dts.gov.ua (хакером r00tkit) - 25.10.2017 - похаканий державний сайт
  • sadyukrainy.com.ua (хакером MOB) - 29.10.2017, цей сайт вже хакали в березні (18.03.2017)
  • stroymaterialy.kharkov.ua (хакерами з ToP-TeaM) - 14.11.2017
  • kharkiv.meteo.gov.ua (хакером KingSkrupellos) - 14.11.2017 - похаканий державний сайт
  • k-band.com.ua (хакером Shade) - 22.11.2017
  • onufrievka.kr-admin.gov.ua (хакером parazit) - 29.11.2017 - похаканий державний сайт
  • 90 сайтів на сервері Goodnet (різними хакерами) - 11-12.2017
  • megaflex.com.ua (хакерами з ToP-TeaM) - 04.12.2017
  • mirabo.kiev.ua (хакером r00tkit) - 06.12.2017
  • europe.mirabo.kiev.ua (хакерами Darkshadow-tn і Mister Spy) - 06.12.2017
  • ecotestvip.com (хакерами з ToP-TeaM) - 10.12.2017
  • kyiv-oblosvita.gov.ua (хакером N45HT) - 12.12.2017 - похаканий державний сайт
  • pferd.com.ua (хакером HerCulano) - 13.12.2017
  • osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017 - похаканий державний сайт
  • na.com.ua (хакером HerCulano) - 24.12.2017
  • dolya-medcenter.com.ua (хакером ZeDaN-Mrx) - 25.12.2017
  • 82 сайти на сервері Ukraine (різними хакерами) - 26.12.2017
  • krasnokutska-rada.gov.ua (хакером ZaiTsev) - 29.12.2017 - похаканий державний сайт
  • kirrda.kr-admin.gov.ua (хакером Dr.SiLnT HilL) - 30.12.2017 - похаканий державний сайт

З них взломано 39 gov.ua-сайтів та проведено одну DDoS атаку на державний сайт. Що менше ніж в аналогічному періоді торік.

Також були інфіковані 70 сайтів, які вірогідно були похакані в минулому році. Що менше 108 інфікованих сайтів в другій половині 2016 (падіння на 35,2%).

Інфіковані сайти у другій половині 2017 року: simplejane.zzz.com.ua, vkapi.zzz.com.ua, smitddd.zzz.com.ua, seller-acc.kl.com.ua, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, www.samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, admiral.myftp.biz, obnovlenie-nod32.work, xpau.se, фабрика-моды.com, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, 195.123.224.119, 195.95.147.97, hd-world.org, rev.atbmarket.com, s1.pcw.pp.ua.

Серед них чимало сайтів з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2017 рік.

Червневі DDoS атаки та взломи

22:45 28.06.2018

Раніше я писав про травневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в червні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

adm-pl.gov.ua (хакером Adam Tnx) - 04.06.2018
Ще 24 піддомени adm-pl.gov.ua (Adam Tnx та іншими хакерами) - 06.2018
tsarzem.gov.ua (хакером AnonymousFox) - 09.06.2018
genich-osvita.gov.ua (хакером Ayyildiz Tim) - 26.06.2018
rairada-kremenets.gov.ua (хакером p0tz) - 30.06.2018

Українські Кібер Війська закрили наступні сайти:

Закритий сайт mvddnr.ru (через скаргу хостеру) - 05.06.2018
Закритий сайт my.phoenix-dnr.ru (через скаргу хостеру) - 05.06.2018

Похакані сайти №354

22:48 27.06.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://tsdazu.gov.ua (хакером NoFace 47) - 09.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dts.gov.ua (хакером r00tkit) - 25.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://bios.ua (хакером aDriv4) - 23.10.2017, зараз сайт вже виправлений адмінами
  • http://igonina-olga.com.ua (хакером darkshadow-tn) - 30.01.2018, зараз сайт вже виправлений адмінами
  • http://pers.dn.ua (хакерами з X-Force Cyber Army) - 06.04.2018, зараз сайт вже виправлений адмінами

П’ятий масовий взлом сайтів на сервері Укртелекому

22:43 26.06.2018

Торік року відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся з 28.03.2017 по 06.07.2017. Четвертий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Він складався з одного масового дефейсу та двох окремих дефейсів.

Всього було взломано 258 сайтів на сервері Укртелекому (IP 93.190.43.49). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: fitolab.gov.ua, krasnograd-rada.gov.ua, blagove-silska-rada.gov.ua.

Всі 258 сайтів були взломані хакерами з chinafans.

Масовий дефейс хакерами chinafans явно були зроблені через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.