Websecurity - Веб безпека

В період з 27.12.2014 по 18.11.2016 відбувся новий масовий взлом сайтів на сервері Hetzner. Раніше я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Раніше я писав про п’ятий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 83 сайти на сервері хостера Hetzner (IP 136.243.0.152). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pograirada.gov.ua.

З зазначених 83 сайтів 73 сайти були взломані хакерами з Anonymous Ghost Gaza, 3 сайти AnonymousFox, 2 сайти halako та по одному сайту хакерами Shade, BD GREY HAT HACKERS, Ogmass, ZoRRoKiN, Hmei7.

Масовий дефейс хакерами Anonymous Ghost Gaza явно був зроблений через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cgo.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• DDOS атака на president.gov.ua (російськими хакерами) - 16.05.2017 - атакований державний сайт
• http://polarsol.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://pepworldwide.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами

У травні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у червні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-30.06.2017
DDoS на cikdnr.ru - 01-30.06.2017
DDoS на cik-lnr.info - 01-30.06.2017
DDoS на без-вести.рф - 01-30.06.2017
DDoS на bne.su - 01-30.06.2017
DDoS на dnrpress.ru - 01-30.06.2017
DDoS на icp.su - 01-30.06.2017
DDoS на interbrigada.org - 01-30.06.2017
DDoS на dokcpp.dn.ua - 01-30.06.2017
DDoS на antiukrop.su - 01-30.06.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tutti-shop.com.ua - інфекція була виявлена 20.06.2017. Зараз сайт входить до переліку підозрілих.
• http://vita-infinity.com - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.
• http://decomebel.com - інфекція була виявлена 14.01.2017. Зараз сайт входить до переліку підозрілих.
• http://rassvet.dn.ua - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.
• http://hyip-all.com - інфекція була виявлена 20.06.2017. Зараз сайт не входить до переліку підозрілих.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• acsk.privatbank.ua
• online.pravex.ua

Також згадував про взломані онлайн магазини в Уанеті:

• www.auction-free.com.ua
• sumka.te.ua
• www.minifermer.com

А також згадував про інфіковані онлайн магазини в Уанеті:

• evt.in.ua
• firemarket.com.ua
• fito-gor.com.ua
• g-sex.com.ua
• glad.com.ua
• goldenhands.in.ua
• guardmaster.com.ua
• ibuild.com.ua
• ineedglasses.com.ua
• it4y.com.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ub.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://conference.nbuv.gov.ua (хакером Nofawkx Al) - 29.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tarascha.parafia.in.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://stefan.vald.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://dityacha-rezidencia.kiev.ua (хакером GeNErAL) - 13.01.2017, дві сторінки хакера все ще розміщені на сайті

Раніше я писав про квітневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію травні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kozsr.gov.ua (хакерами з Yunkers Crew) - 06.05.2017
webmail.just.gov.ua (невідомі хакери) - 08.05.2017 - хакнули пошту для розсилки фішингу
archive.gov.ua (хакером GHoST61) - 11.05.2017
journal.iitta.gov.ua (хакером Panataran) - 16.05.2017

Проукраїнськими хакерами були атаковані наступні сайти:

dokuchaevskga.ucoz.org (Українські Кібер Війська) - 09.05.2017
Травневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт 2000.net.ua (через скаргу хостеру) - 05.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 31.05.2017. Зараз сайт входить до переліку підозрілих.
• http://orion-sparta.com - інфекція була виявлена 14.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://stream-ts.com - інфекція була виявлена 14.01.2017. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 31.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://talmix.com.ua - інфекція була виявлена 31.05.2017. Зараз сайт входить до переліку підозрілих.

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2016 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 60 сайтів, а в другому півріччі було інфіковано 108 сайтів. Всього 168 сайтів за 2016 рік. І з них на 132 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Magento - 68
Joomla - 27
WordPress - 25
Drupal - 5
AS Commerce CMS - 1
DataLife Engine - 1
Django - 1
SLAED CMS - 1

Зазначу, що двоє з трьох лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

У квітні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у травні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-31.05.2017
DDoS на cikdnr.ru - 01-31.05.2017
DDoS на cik-lnr.info - 01-31.05.2017
DDoS на без-вести.рф - 01-31.05.2017
DDoS на bne.su - 01-31.05.2017
DDoS на lvs-global.ru - 01-31.05.2017
DDoS на dnrpress.ru - 01-31.05.2017
DDoS на icp.su - 01-31.05.2017
DDoS на interbrigada.org - 01-31.05.2017
DDoS на dokcpp.dn.ua - 01-31.05.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.