Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://just.odessa.gov.ua (російськими хакерами) - 30.01.2017 та 05.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.antonov.com (невідомими хакерами) - 17.01.2018 - похаканий державний сайт (але є підозри, що це працівники розмістили звернення на сайті, а керівництво компанії з’їхало на хакерів), зараз сайт вже виправлений адмінами
• http://k-band.com.ua (хакером Shade)
• http://na.com.ua (хакером HerCulano)
• http://dolya-medcenter.com.ua (хакером ZeDaN-Mrx) - 25.12.2017, зараз сайт вже виправлений адмінами

Раніше я писав про грудневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в січні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

j2.iitta.gov.ua (хакером LolzSec) - 04.01.2018
journal.sops.gov.ua (хакером B0c4H_Id30T) - 10.01.2018
vinjust.gov.ua (хакером Alarg53) - 14.01.2018

Проукраїнськими хакерами були атаковані наступні сайти:

Січневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ursr.com.ua (через скаргу хостеру) - 01.2018
Закритий сайт slavgromada.wordpress.com (через скаргу хостеру) - 01.2018

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://shtorm.inf.ua - інфекція була виявлена 31.12.2017. Зараз сайт входить до переліку підозрілих
• http://phoenix-mg.ucoz.com - інфекція була виявлена 13.07.2017. Зараз сайт не входить до переліку підозрілих
• http://professionalshippngng.com - інфекція була виявлена 02.08.2017. Зараз сайт не входить до переліку підозрілих
• http://jokoli.ucoz.net - інфекція була виявлена 26.09.2017. На сайті криптомайнер
• http://msvcnet.ucoz.net - інфекція була виявлена 06.10.2017. На сайті криптомайнер
• http://netnetget.ucoz.net - інфекція була виявлена 24.10.2017. На сайті криптомайнер
• http://booksonline.com.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://diagnoz.net.ua - інфекція була виявлена 31.12.2017. На сайті криптомайнер
• http://eternalphi.zzz.com.ua - інфекція була виявлена 07.01.2018. Зараз сайт не входить до переліку підозрілих
• http://arihard.kl.com.ua - інфекція була виявлена 08.01.2018. Зараз сайт не входить до переліку підозрілих

У грудні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у січні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.01.2018
DDoS на dnrpress.ru - 01-31.01.2018
DDoS на cikdnr.ru - 01-31.01.2018
DDoS на cik-lnr.info - 01-31.01.2018
DDoS на icp.su - 01-31.01.2018
DDoS на dokcpp.dn.ua - 01-31.01.2018
DDoS на antiukrop.su - 01-31.01.2018
DDoS на milion.kiev.ua - 01-31.01.2018
DDoS на banner.dn.ua - 01-31.01.2018
DDoS на patriot.donetsk.ua - 01-31.01.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2017, я згадував, що в першому півріччі було інфіковано 75 сайтів (з них 3 державних сайти).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2017 року, і на 41 сайті вдалося виявити движки. Частина з 75 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1
VaM Shop - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kyiv-oblosvita.gov.ua (хакером N45HT) - 12.12.2017
osvita.sm.gov.ua (хакером Bilgekultigin) - 19.12.2017

Проукраїнськими хакерами були атаковані наступні сайти:

Грудневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт news-portal.dn.ua (через скаргу хостеру) - 12.2017
Закритий сайт donsju.donetsk.ua (через скаргу хостеру) - 12.2017
Закритий сайт infowar.delovoy.com (через скаргу хостеру) - 12.2017
Закритий сайт lt-lnr.su (через відміну SSL сертифікату) - 21.12.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kozsr.gov.ua (хакерами з Yunkers Crew) - 06.05.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kostvlada.org (хакером Unknown Al) - 11.06.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sm.gov.ua (хакерами з Yunkers Crew) - 08.06.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://justice-dn.gov.ua (хакером maress) - 02.07.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kharkiv.meteo.gov.ua (хакером KingSkrupellos) - 14.11.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gaz-oblik-prylad.com.ua (хакерами з chinafans) - 29.06.2017, зараз сайт вже виправлений адмінами
• http://academy.smartfitness.com.ua (хакерами з chinafans) - 06.07.2017, зараз сайт вже виправлений адмінами
• http://musics.net.ua (хакером Et04) - 22.09.2017, зараз сайт вже виправлений адмінами
• http://domino.ua (хакером sohaip-hackerDZ) - 27.09.2017, зараз сайт вже виправлений адмінами
• http://megaflex.com.ua (хакерами з ToP-TeaM) - 04.12.2017, зараз сайт вже виправлений адмінами

У листопаді вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у грудні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.12.2017
DDoS на dnrpress.ru - 01-31.12.2017
DDoS на cikdnr.ru - 01-31.12.2017
DDoS на cik-lnr.info - 01-31.12.2017
DDoS на icp.su - 01-31.12.2017
DDoS на dokcpp.dn.ua - 01-31.12.2017
DDoS на antiukrop.su - 01-31.12.2017
DDoS на milion.kiev.ua - 01-31.12.2017
DDoS на banner.dn.ua - 01-31.12.2017
DDoS на patriot.donetsk.ua - 01-31.12.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://hooligan8.at.ua - інфекція була виявлена 31.07.2017. Зараз сайт не входить до переліку підозрілих
• http://guanpro.com - інфекція була виявлена 11.08.2017. Зараз сайт не входить до переліку підозрілих
• http://000.at.ua - інфекція була виявлена 18.09.2017. Зараз сайт не входить до переліку підозрілих
• http://prof-xaker.at.ua - інфекція була виявлена 18.09.2017. Зараз сайт не входить до переліку підозрілих
• http://solocrd.zzz.com.ua - інфекція була виявлена 10.11.2017. Зараз сайт не входить до переліку підозрілих

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав з 24.12.2013 по 04.12.2017. Третій масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з одного масового дефейсу та кількох окремих дефейсів по одному або декількох сайтах, відбувся після масового взлому сайтів на сервері Ukrnames.

Всього було взломано 95 сайтів на сервері хостера Goodnet (91.203.144.46). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти forum.adm-hrebinka.gov.ua, adm-hrebinka.gov.ua, info.adm-hrebinka.gov.ua, cloud.adm-hrebinka.gov.ua, osvita.adm-hrebinka.gov.ua.

З зазначених 95 сайтів 25 сайтів були взломані хакерами з Ashiyane Digital Security Team, 21 сайт хакером dr lamouchi, 5 сайтів хакерами з Yunkers Crew та по одному чи декілька іншими хакерами.

Під час взлому Ashiyane Digital Security Team було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.