Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://volleyball.org.ua - інфекція була виявлена 22.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.kherson.ua - інфекція була виявлена 17.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.ks.ua - інфекція була виявлена 14.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpa.kharkov.ua - інфікований державний сайт - інфекція була виявлена 25.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://mybigcash.com - інфекція була виявлена 24.07.2010. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chocolate.lviv.ua (хакером ArTiN) - 14.09.2010, зараз сайт вже виправлений адмінами
• http://maritimelawschool.in.ua (хакерами AtoM і D4nnY) - 06.09.2010, зараз сайт не працює (немає контенту)
• http://www.cvoippo.edu.ua (хакером kaMtiEz) - 20.09.2010, зараз сайт вже виправлений адмінами
• http://nbook.info (хакером Aquantes)
• http://www.avtohifi.com (хакером Top 511) - 06.09.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 18.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://antiplayground.at.ua - інфекція була виявлена 03.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://terrawoman.ua (а також http://terrawoman.com і http://terrawoman.com.ua, що є різними доменами одного сайта) - інфекція була виявлена 09.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://business-invest.lviv.ua - інфекція була виявлена 10.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://virion.com.ua - інфекція була виявлена 01.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pidgulko.com.ua (хакером KonyaR-Lee)
• http://sptoohrana.com.ua (хакерами з AHG) - це секюріті сайт
• http://pntb.tv (хакером Corti) - 08.09.2010, зараз сайт вже виправлений адмінами
• http://www.virma.com.ua (хакерами з Anarchy Cr3w) - 22.08.2010, зараз сайт вже виправлений адмінами
• http://kovel.in.ua (хакером baDsectQr) - 22.08.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://titan.lviv.ua - інфекція була виявлена 09.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dn.kiev.ua - інфекція була виявлена 27.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://kickboxing.com.ua - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mymultimedia.org.ua - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://notebookmaster.com.ua - інфекція була виявлена 02.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що сайт dn.kiev.ua вже був інфікований в 2008 році. І в цьому році він знову розповсюджує віруси.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.arlekino.com.ua (хакерами з AHG) - 04.09.2010, зараз сайт вже виправлений адмінами
• http://www.atlant-s.com.ua (хакером M3rtC4n)
• http://lacoste-house.org.ua (хакерами з 1923TURK) - причому спочатку сайт був взломаний 22.08.2010 1923TURK, потім 31.08.2010 він був взломаний NUzzY, потім 04.09.2010 був взломаний CREUSE та alm0st7el, а зараз взломаний Dz$N!P3R. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dks.com.ua (хакером METRP0L) - 09.2010, зараз сайт вже виправлений адмінами
• http://fourlanguagestranslations.com (хакером MouDy-Dz) - 26.08.2010, зараз сайт не працює

Свої логи я регулярно досліджую і виявляю атаки (сотні атак щодня), які відбуваються на мій сайт. І з моменту запуску мого сайта в липні 2006 року, кількість щоденних атак постійно зростає. Зокрема відбуваються і RFI атаки. Хоча в мене на сайті немає і ніколи не було RFI дір , але такі атаки щоденно відбуваються.

За звичай для RFI атак (на PHP-додатки) використовуються скрипти, що розміщенні на інших сайтах. І це похакані сайти, які використовуються для атак на інші сайти (в тому числі й на мій). Нападники їх використовують для того, щоб не світити власними сайтами - вони взламують одні сайти, розміщують на них скрипти, а потім атакують інші сайти з використанням цих скриптів.

І в мене в логах таких похаканих сайтів увесь час є чимало. В основному це іноземні сайти, але сьогодні, досліджуючи логи, я виявив і українські сайти. Тому я вирішив почати використовувати свої логи як джерело похаканих сайтів в Уанеті . На додачу до інших джерел, що я використовую для дослідження безпеки Уанету, зокрема до розробленої мною в 2008 році методики пошуку похаканих сайтів.

Похакані сайти в Уанеті:

• http://injek.at.ua (хакером Casper_Kae) - 10.08.2010
• http://www.stomatformula.com.ua (хакером FeeLCoMz) - 04.09.2010

Файли, що використовуються для RFI атак:

http://injek.at.ua/e107id1.txt
http://www.stomatformula.com.ua/includes/domit/a

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://beesoft.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://skachat-besplatno.com.ua - інфекція була виявлена 14.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://goodgirlsbadguys.com - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://minus-mp3.ucoz.ua - інфекція була виявлена 28.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://grandlog.com.ua - інфекція була виявлена 06.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт skachat-besplatno.com.ua також хостить в себе Укртелеком.

В 2007 році в своїй доповіді Безпека Блогосфери (з якою я виступив на конференції BlogCamp 2007) я розповідав про ситуацію з безпекою сайтів, що надають можливість вести блоги (так звані блог-хостінги). З 2006 року і по поточний рік я знаходив чимало уразливостей на різноманітних блог-хостінгах, як українських, так і закордонних.

В себе в новинах я писав про уразливості на наступних блог-хостінгах:

• www.liveinternet.ru
• Blogspot (Blogger)
• Blogger
• Livejournal.com
• livejournal.com
• blog.i.ua
• blog.korrespondent.net
• mylivepage.com
• dnevnik.bigmir.net
• drevo.uaportal.com

Так що українським та закордонним блог-хостінгам є куди покращувати свою безпеку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cs-servera.net (хакером SAms0n) - 28.08.2010, зараз сайт вже виправлений адмінами
• http://valfork.com (хакером CmTr) - 24.08.2010, зараз сайт не працює (закритий адмінами)
• http://firstline.com.ua (хакером TekZ)
• http://shela.org.ua (хакером Delp0rt3) - 20.08.2010, зараз сайт не працює
• http://muza.lg.ua (хакерами з AHG)