Websecurity - Веб безпека

В період з 11.01.2013 по 25.10.2016 та 16.01.2017 відбувся масовий взлом сайтів на сервері NeoCom. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukrnames. Взлом складався з кількох масових дефейсів та багатьох невеликих дефейсів сайтів. Він відбувся після згаданого масового взлому сайтів на сервері TheHost.

Всього був взломаний 51 сайт на сервері хостера NeoCom (IP 212.82.217.9). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти gorzdrav.ck.ua (2013 і 2014), oblradack.gov.ua.

З зазначених 51 сайту 46 сайтів були взломані хакером TheWayEnd та інші сайти іншими хакерами.

Масовий дефейс хакером TheWayEnd явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

zaryabinka-rada.gov.ua (хакерами з TeaM_CC) - 11.03.2018
bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
new.bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018
nmckherson.gov.ua (хакерами з TeaM_CC) - 18.03.2018
uon.gov.ua (хакерами з TeaM_CC) - 18.03.2018
ochakiv-rada.gov.ua (хакерами з TeaM_CC) - 19.03.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Березневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт pomogi-donbassu.ru (через скаргу хостеру) - 03.2018
Закритий сайт gum-lnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт gtklnr.su (через відкликання SSL сертифікату) - 03.2018
Закритий сайт phoenix-dnr.ru (через відкликання SSL сертифікату) - 03.2018
Закритий сайт феникс-днр.рус (через відкликання SSL сертифікату) - 03.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://testosvita.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://portal.kam-pod.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінам
• http://richmangroup.com.ua (хакером w0rmexpl0it)
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінам
• http://ecotestvip.com (хакерами з ToP-TeaM) - 10.12.2017, зараз сайт вже виправлений адмінам

У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.03.2018
DDoS на cikdnr.ru - 01-31.03.2018
DDoS на cik-lnr.info - 01-31.03.2018
DDoS на dokcpp.dn.ua - 01-31.03.2018
DDoS на antiukrop.su - 01-31.03.2018
DDoS на milion.kiev.ua - 01-31.03.2018
DDoS на banner.dn.ua - 01-31.03.2018
DDoS на patriot.donetsk.ua - 01-31.03.2018
DDoS на infoodessa.com - 01-31.03.2018
DDoS на kharkov-resp.su - 01-31.03.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vbi.od.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://event-show.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://stitch.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://center-ukraine.org.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих
• http://v13083.dh.net.ua - інфекція була виявлена 30.03.2018. Зараз сайт не входить до переліку підозрілих

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 28.12.2015 по 30.01.2018. Другий масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з трьох масових дефейсів і багатьох окремих дефейсів.

Всього було взломано 84 сайтів на сервері хостера TheHost (176.114.0.75). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: kam-pod.km.ua, kam-pod.gov.ua, osvita-kp.gov.ua, 14 піддоменів osvita-kp.gov.ua, testosvita.kam-pod.gov.ua, portal.kam-pod.gov.ua, old.kam-pod.gov.ua, new.kam-pod.gov.ua, dnz.kam-pod.gov.ua, cnap.kam-pod.gov.ua.

З зазначених 84 сайтів 23 сайти були взломані хакером maress, 21 сайт хакером TheWayEnd, 13 сайтів хакером X-0wl та по одному чи декілька іншими хакерами.

Під час взлому хакерами maress, TheWayEnd та X-0wl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (чи облікового запису з великою кількістю сайтів). Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Раніше я писав про січневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в лютому.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

jna.bio.gov.ua (хакером B0c4H_Id30T) - 06.02.2018
doltour.gov.ua (хакерами з Guardiran Security Team) - 14.02.2018
pechenigy-rada.gov.ua (хакером RxR) - 27.02.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Лютневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт belgorod-dnestrovskiy.ru (через скаргу хостеру) - 10.02.2018
Закритий сайт російських хакерів у ПАР (через скаргу хостеру) - 14.02.2018

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://osvita-kp.gov.ua (хакером Ayyildiz Tim-maress) - 10.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belozirmvk.gov.ua (хакером Shade) - 19.10.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://evrik.com.ua (хакером ReC0ded) - 23.09.2017, зараз сайт вже виправлений адмінами
• http://www.pferd.com.ua (хакером HerCulano)
• http://militaryaviation.in.ua (хакером Mister Spy) - 27.01.2018, зараз сайт вже виправлений адмінами

У січні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у лютому.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-28.02.2018
DDoS на cikdnr.ru - 01-28.02.2018
DDoS на cik-lnr.info - 01-28.02.2018
DDoS на icp.su - 01-28.02.2018
DDoS на dokcpp.dn.ua - 01-28.02.2018
DDoS на antiukrop.su - 01-28.02.2018
DDoS на milion.kiev.ua - 01-28.02.2018
DDoS на banner.dn.ua - 01-28.02.2018
DDoS на patriot.donetsk.ua - 01-28.02.2018
DDoS на infoodessa.com - 01-28.02.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://guanpro.com - інфекція була виявлена 11.08.2017. Зараз сайт не входить до переліку підозрілих
• http://aster.ua - інфекція була виявлена 14.01.2018. Зараз сайт не входить до переліку підозрілих
• http://tattoo-visage.com.ua - інфекція була виявлена 21.02.2018. Зараз сайт не входить до переліку підозрілих
• http://profashion.com.ua - інфекція була виявлена 22.02.2018. Зараз сайт не входить до переліку підозрілих
• http://assa.ua - інфекція була виявлена 21.02.2018. Зараз сайт не входить до переліку підозрілих