Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://tet.gov.ua (хакером Kripton) - 04.11.2018 - похаканий державний сайт зараз сайт вже виправлений адмінами
• http://kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lubnyzem.gov.ua (хакером Mo3Gza HaCkEr) - 12.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rada.konotop.org (хакером Imam) - 16.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://konotop-rada.gov.ua (хакером Inconnu Dz) - 26.01.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://auto-zakaz.com.ua - інфекція була виявлена 23.03.2018. Зараз сайт не входить до переліку підозрілих
• http://ramprulad.com.ua - інфекція була виявлена 01.09.2018. Зараз сайт не входить до переліку підозрілих
• http://windows-soft.at.ua - інфекція була виявлена 17.09.2018. Зараз сайт не входить до переліку підозрілих
• http://kupi-vip.com.ua - інфекція була виявлена 18.10.2018. Зараз сайт не входить до переліку підозрілих
• http://flatout.at.ua - інфекція була виявлена 01.11.2018. Зараз сайт не входить до переліку підозрілих

Торік року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 16.03.2015 по 09.10.2018. Дев’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з декількох масових дефейсів та багато окремих дефейсів.

Всього було взломано 96 сайтів на сервері хостера Ukraine (IP 185.68.16.175). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти mev.gov.ua та dffd.gov.ua.

З них 24 сайти були взломані хакером MuhmadEmad, 18 сайтів хакерами з BD GREY HAT HACKERS, 16 сайтів хакером ZoRRoKiN, 14 сайтів хакером Bulut та інші сайти іншими хакерами.

Масові дефейси хакерами MuhmadEma, BD GREY HAT HACKERS, ZoRRoKiN і Bulut явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2018, я згадував, що в першому півріччі було інфіковано 79 сайтів (з них 1 державний сайт).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2018 року, і на 40 сайтах вдалося виявити движки. Частина з 79 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://old.bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://uzh-rajrada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gostomel-rada.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 16.09.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакерами Darkshadow-tn і Mister Spy) - 18.09.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zt.gov.ua (хакером KuzoTR) - 28.10.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://absurd.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018, зараз сайт вже виправлений адмінами
• http://barkar.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018, зараз сайт вже виправлений адмінами
• http://apteka450.com.ua (хакерами з BD Grey Hat Hackers) - 09.10.2018, зараз сайт вже виправлений адмінами
• http://lituta.com.ua (хакером Mister Spy) - 27.10.2018, зараз сайт вже виправлений адмінами
• http://realty-ukraina.com (хакером Mister Spy) - 30.10.2018, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://svitmebliv.cn.ua - інфекція була виявлена 17.06.2018. Зараз сайт не входить до переліку підозрілих
• http://mebel-m.com.ua - інфекція була виявлена 20.08.2018. Зараз сайт не входить до переліку підозрілих
• http://cleanfield.com.ua - інфекція була виявлена 01.09.2018. Зараз сайт не входить до переліку підозрілих
• http://my-webpage.at.ua - інфекція була виявлена 06.09.2018. Зараз сайт не входить до переліку підозрілих
• http://mcpf.com.ua - інфекція була виявлена 24.09.2018. Зараз сайт не входить до переліку підозрілих

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2018 року.

За першу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2017 року. 760 атак на веб сайти проти 521 - це більша активність (зростання на 45,9%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2018 року - за період з 01.01.2018 по 30.06.2018.

• karoff.com.ua (хакером KkK1337) - 02.01.2018
• ornament-plast.com (хакером KkK1337) - 02.01.2018
• fastprint.kharkov.ua (хакером KkK1337) - 02.01.2018
• asweb.com.ua (хакером KkK1337) - 02.01.2018
• j2.iitta.gov.ua (хакером LolzSec) - 04.01.2018 - похаканий державний сайт
• journal.sops.gov.ua (хакером B0c4H_Id30T) - 10.01.2018 - похаканий державний сайт
• vinjust.gov.ua (хакером Alarg53) - 14.01.2018 - похаканий державний сайт
• www.antonov.com (невідомими хакерами) - 17.01.2018 - похаканий державний сайт
• militaryaviation.in.ua (хакером Mister Spy) - 27.01.2018
• igonina-olga.com.ua (хакером Darkshadow-tn) - 30.01.2018
• jna.bio.gov.ua (хакером B0c4H_Id30T) - 06.02.2018 - похаканий державний сайт
• 136 сайтів на сервері URAN (хакером B0c4H_Id30T) - 06.02.2018
• doltour.gov.ua (хакерами з Guardiran Security Team) - 14.02.2018 - похаканий державний сайт
• pas-pereviznuk.com.ua (хакерами з Guardiran Security Team) - 14.02.2018
• pechenigy-rada.gov.ua (хакером RxR) - 27.02.2018 - похаканий державний сайт
• udf.gov.ua (хакером RxR) - 05.03.2018 - похаканий державний сайт
• bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018 - похаканий державний сайт
• new.bogodukhivrda.gov.ua (хакерами з TeaM_CC) - 11.03.2018 - похаканий державний сайт
• zaryabinka-rada.gov.ua (хакерами з TeaM_CC) - 11.03.2018 - похаканий державний сайт
• 388 сайтів на сервері Goodnet (350 сайтів хакерами з TeaM_CC, а 38 сайтів іншими хакерами) - 11.03.2018
• allpaletty.com.ua (хакерами з Team_CC) - 11.03.2018
• lpi.dp.ua (хакерами з TeaM_CC) - 11.03.2018
• foto-one.com.ua (хакером amin0461) - 16.03.2018
• nmckherson.gov.ua (хакерами з TeaM_CC) - 18.03.2018 - похаканий державний сайт
• 181 сайт на сервері Forward Hosting (хакерами з TeaM_CC) - 18.03.2018
• uon.gov.ua (хакерами з TeaM_CC) - 18.03.2018 - похаканий державний сайт
• sgbo.com.ua (хакерами з TeaM_CC) - 18.03.2018
• ochakiv-rada.gov.ua (хакерами з TeaM_CC) - 19.03.2018 - похаканий державний сайт
• richmangroup.com.ua (хакером w0rmexpl0it) - 27.03.2018
• pers.dn.ua (хакерами з X-Force Cyber Army) - 06.04.2018
• eduvzn.gov.ua (хакером BALA SNIPER) - 13.04.2018 - похаканий державний сайт
• lepetykha-rda.gov.ua (хакером RxR) - 18.04.2018 - похаканий державний сайт
• www.sea.gov.ua (хакерами з TeaM_CC) - 20.04.2018 - похаканий державний сайт
• industry.zt.gov.ua (хакерами з ErrOr SquaD) - 20.04.2018 - похаканий державний сайт
• lsp.sea.gov.ua (хакерами з TeaM_CC) - 21.04.2018 - похаканий державний сайт
• mev.gov.ua (хакерами з Electronic Thunderbolt Team) - 22.04.2018 - похаканий державний сайт
• usrinfo.minjust.gov.ua (хакерами з ErrOr SquaD) - 22.04.2018 - похаканий державний сайт
• tvorenie-mira.com.ua (хакером SatTaR) - 22.04.2018
• dffd.gov.ua (хакером AdGhosT) - 23.04.2018 - похаканий державний сайт
• visnyk-nanu.org.ua (хакером MuhmadEmad) - 23.04.2018
• knockdown.org.ua (хакером Mister Spy) - 24.04.2018
• salon-voyage.com.ua (хакером SatTaR) - 24.04.2018
• expo-odessa.com (хакером Golden Hacker) - 01.05.2018
• www.bahmutrada.gov.ua (хакерами з TeaM_CC) - 09.05.2018 - похаканий державний сайт
• road.bahmutrada.gov.ua (хакерами з TeaM_CC) - 09.05.2018 - похаканий державний сайт
• arh.bahmutrada.gov.ua (хакерами з TeaM_CC) - 09.05.2018 - похаканий державний сайт
• ost.gov.ua (хакером Dz_Trojan) - 11.05.2018 - похаканий державний сайт
• dykanka.adm-pl.gov.ua (хакером Mister Spy) - 16.05.2018 - похаканий державний сайт
• trimeco.ck.ua (хакерами з chinafans) - 18.05.2018
• khotynmr.gov.ua (хакерами з chinafans) - 19.05.2018 - похаканий державний сайт
• bioenergy.gov.ua (хакером MuhmadEmad) - 25.05.2018 - похаканий державний сайт
• dea.gov.ua (хакерами з Typical Idiot Security) - 25.05.2018 - похаканий державний сайт
• sinay.kiev.ua (хакером AT_7) - 31.05.2018
• adm-pl.gov.ua (хакером Adam Tnx) - 04.06.2018 - похаканий державний сайт
• Ще 24 піддомени adm-pl.gov.ua (Adam Tnx та іншими хакерами) - 06.2018
• tsarzem.gov.ua (хакером AnonymousFox) - 09.06.2018 - похаканий державний сайт
• genich-osvita.gov.ua (хакером Ayyildiz Tim) - 26.06.2018 - похаканий державний сайт
• rairada-kremenets.gov.ua (хакером p0tz) - 30.06.2018 - похаканий державний сайт

З них взломано 34 державних сайти. Що менше ніж в аналогічному періоді минулого року.

Також були інфіковані 79 сайтів, які вірогідно були похакані в цьому році. Що більше ніж 75 інфікованих сайтів за аналогічний період минулого року (зростання на 5,3%).

Інфіковані сайти у першій половині 2018 року: eternalphi.zzz.com.ua, arihard.kl.com.ua, profashion.com.ua, ridnaoselya.if.ua, win-666.at.ua, qant.pp.ua, la2-bag.at.ua, event-show.com.ua, stitch.com.ua, center-ukraine.org.ua, v13083.dh.net.ua, aster.ua, tattoo-visage.com.ua, assa.ua, en.lalaenglish.com.ua, djemm.com.ua, forumservices.at.ua, polishchukproject.com, goldenwedding.com.ua, litnik.pp.ua, pivnaliga.com.ua, kruzhevo.ua, lavi-style.odessa.ua, zanachka.com.ua, прочистка-канализации.kiev.ua, test.nltu.edu.ua, snvlk.nltu.edu.ua, v20068.dh.net.ua, conf.iitlt.gov.ua, blacklions.com.ua, botik.kl.com.ua, br.it-f.com.ua, острів.укр, polishchukproject.com, mastervdome.kh.ua, icta.kh.ua, labyrinth.kh.ua, spezshtamp.kiev.ua, deju.com.ua, brovary3d.com.ua, tara-navigator.com.ua, luxmdf.com.ua, meest-tour.com.ua, control.at.ua, freelan.at.ua, s-map.at.ua, omega-server.at.ua, cssheaters.at.ua, galactic.org.ua, lion.zp.ua, electro-dom.od.ua, region-2001.com, dmebli.com.ua, nazikgil.adr.com.ua, marketlviv.com.ua, repaired.com.ua, istok-aikido.org.ua, sapix.pp.ua, volovetsj.info, oilmotor.com.ua, 124.com.ua, krovatki.biz, tt2002.com.ua, gdo.kiev.ua, ekonad.net.ua, nf.org.ua, kievarttime.org.ua, sppu.org.ua, freecheat.zzz.com.ua, steller2020.zzz.com.ua, ireanimator.com.ua, clean-pro.com.ua, tatarchenko.com.ua, legosha.com.ua, vedapeople.com.ua, thetime.net.ua, eurofood.net.ua, sashapikula.com, svitmebliv.cn.ua.

З них інфіковано 1 державний сайт (що менше ніж в аналогічному періоді минулого року): conf.iitlt.gov.ua.

На початку наступного року підготую звіт за друге півріччя та підведу підсумки за 2018 рік.

Цього року відбувся новий масовий взлом сайтів на сервері Goodnet. Він відбувся 11.03.2018 і деякі сайти в попередні роки. Четвертий масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з двох масових дефейсів та кількох окремих дефейсів по одному або декількох сайтах, відбувся після масового взлому сайтів на сервері URAN.

Всього було взломано 389 сайтів на сервері Goodnet (IP 91.203.147.183). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти: zaryabinka-rada.gov.ua, letrada.gov.ua.

З них були взломані хакерами TeaM_CC 351 сайт, ще 30 сайтів хакером ElKiller, 2 сайти хакером Unknown Al і по одному сайту хакерами LUN4T1C0, MuhmadEmad, mohamed.xo, Moroccanwolf, d3b~X, w4l3XzY3.

Масовий дефейс хакерами TeaM_CC і ElKiller явно були зроблені через взлом серверу хостінг провайдера. У випадку інших дефейсів сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://adm-pl.gov.ua (хакером Adam Tnx) - 04.06.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://oblradack.gov.ua (хакерами з Team_CC) - 17.07.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://inpsy.naps.gov.ua (хакером B4B4NN) - 18.07.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://korc.gov.ua (хакерами з Turkz.org) - 29.08.2018 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://allpaletty.com.ua (хакерами з Team_CC) - 11.03.2018, зараз сайт закрився
• http://lpi.dp.ua (хакерами з TeaM_CC) - 11.03.2018, зараз сайт вже виправлений адмінами
• http://sgbo.com.ua (хакерами з TeaM_CC) - 18.03.2018, зараз сайт вже виправлений адмінами
• http://salon-voyage.com.ua (хакером SatTaR) - 24.04.2018, зараз сайт вже виправлений адмінами
• http://abud.lviv.ua (хакером Xsam Xadoo) - 07.08.2018, зараз сайт вже виправлений адмінами

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

kyiv-oblosvita.gov.ua (хакером Imam) - 14.12.2018
dls.gov.ua (хакерами з ErrOr SquaD) - 17.12.2018
priazovrada.gov.ua (хакером Kripton) - 25.12.2018