Websecurity - Веб безпека

В серпні відбувся новий масовий взлом сайтів на сервері Goodnet. Він тривав з 19.12.2015 по 03.04.2016. Другий масовий взлом сайтів на сервері Goodnet відбувся раніше.

Був взломаний сервер української компанії Goodnet. Взлом, що складався з одного масового дефейсу та кількох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 35 сайтів на сервері хостера Goodnet (91.203.147.183). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт letrada.gov.ua.

З зазначених 35 сайтів 30 сайтів були взломані хакером ElKiller, 2 сайти хакером Unknown Al та по одному хакерами Moroccanwolf, d3b~X, w4l3XzY3.

Під час взлому хакера ElKiller було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Раніше я писав про червневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у липні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

osvitapoltava.gov.ua (хакером Aziz Laabidi) - 04.07.2016
kakhovka-rayrada.gov.ua (хакером Xvirus) - 06.07.2016
kakhovka-rada.gov.ua (хакером Xvirus) - 06.07.2016
Та багато інших gov.ua сайтів.

Проукраїнськими хакерами були атаковані наступні сайти:

Липневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт warday.su (через скаргу хостеру) - 07.2016

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://journal.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://j2.iitta.gov.ua (хакером TOGEL3739) - 24.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.abud.lviv.ua (хакером NeT.Defacer) - 15.03.2016, зараз сайт вже виправлений адмінами
• http://kleenflo.com.ua (хакером Red hell sofyan) - 15.05.2016, зараз сайт вже виправлений адмінами
• http://kostvlada.org (хакером Red hell sofyan) - 28.06.2016, зараз сайт вже виправлений адмінами

У червні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у липні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.07.2016
DDoS на cikdnr.ru - 01-15.07.2016
DDoS на cik-lnr.info - 01-15.07.2016
DDoS на без-вести.рф - 01-15.07.2016
DDoS на ungu.org - 01-15.07.2016
DDoS на bne.su - 01-15.07.2016
DDoS на dnrpress.ru - 01-15.07.2016
DDoS на europeanfront.info - 01-15.07.2016
DDoS на batalyonmoskva.ru - 01-15.07.2016
DDoS на icp.su - 01-15.07.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://teploart.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://skymodels.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://moevikno.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://energolux-kotel.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.

В період з 19.02.2013 по 20.04.2016 відбувся п’ятий масовий взлом сайтів на сервері Hetzner. Більшість сайтів дефейснули саме в 2016 році. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилося багато українських сайтів. Взлом складався з декількох дефейсів сайтів. Раніше я писав про четвертий масовий взлом сайтів на сервері Hetzner.

Всього було взломано 277 сайтів на сервері компанії Hetzner (IP 5.9.205.233). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти rodnukivka-rada.gov.ua та umanrda.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсів SecurityCrewz (202 сайти) та imam (29 сайтів) можна сказати, що враховуючи дефейс великої кількості сайтів за короткий час, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Також не виключена можливість взлому великої групи сайтів в одному акаунті. Коли через взлом одного сайта були атаковані інші сайти на даному сервері.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2013 - 2015 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2013, 2014 і 2015 роках.

За весь 2013 рік в Уанеті було інфіковано 226 веб сайтів.

За весь 2014 рік в Уанеті було інфіковано 163 веб сайтів.

За весь 2015 рік в Уанеті було інфіковано 158 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2013 році активність збільшилась на 12% порівняно з 2012 роком (зростання в 1,12 рази). В порівнянні з 2008 роком активність зросла на 5550% (в 56,5 разів).

В 2014 році активність зменшилась на 28% порівняно з 2013 роком (спад в 1,38 рази). В порівнянні з 2008 роком активність зросла на 3975% (в 40,75 разів).

В 2015 році активність зменшилась на 3% порівняно з 2014 роком (спад в 1,03 рази). В порівнянні з 2008 роком активність зросла на 3850% (в 39,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. Хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в останні роки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pavlograd-zemlya.gov.ua (хакером Djamel11154) - 04.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rodnukivka-rada.gov.ua (хакером SecurityCrewz) - 18.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://umanrda.gov.ua (хакером SecurityCrewz) - 18.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://korec-misto.rv.ua (хакером shi5 alhacker) - 22.04.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://shepetivka-rada.gov.ua (хакером sec7or) - 24.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.capeauto.com.ua (хакером AslanNeferlerTim) - 03.05.2016, зараз сайт вже виправлений адмінами
• http://www.starnet.lutsk.ua (хакером darkshadow-tn) - 12.06.2016, зараз сайт вже виправлений адмінами
• http://ufashion.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт закритий адмінами
• http://divesco.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт вже виправлений адмінами
• http://belopt.com.ua (хакером 3xp1r3) - 28.06.2016, зараз сайт вже виправлений адмінами

В своїх звітах про Інфіковані хостери в 1 півріччі 2015 року та Інфіковані хостери в 2 півріччі 2015 року я розповів, що в Уанеті було 88 інфікованих сайтів в першому півріччі та 70 інфікованих сайти в другому півріччі минулого року, і навів перелік хостерів, що хостили ці інфіковані сайти. А зараз наведу загальний перелік інфікованих хостерів за весь рік.

Всього в 2015 році було інфіковано 158 сайтів (виявлених мною). Всього було 63 провайдери, що розміщували дані сайти.

Багато з цих хостінг провайдерів, робили це як в першому, так й другому півріччі минулого року (8 провайдерів), а деякі робили це і 2014 року. Тобто це в них звичайна практика. Цей звіт призначений для того, щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В минулому році наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AVITI, AboveNet, Alkar Teleport, Apex, BN, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, DE-FIRSTCOLO, DOMASHKA, Datagroup, Dream Line, FastVPS, Fiord, Fortune, GoDaddy, HOMEPL, HOSTINGER, HOSTKEY, Hetzner, ITLAS, IWEB, Infocom, Internet Communications, LANDIS HOLDINGS, LNUA, LUCKYNET, LeaseWeb, MASTERTEL, MEDIATEMPLE, METR, McLaut, MiroHost, NAVIGATOR, NEOCOM, NEOHOST, OMNILANCE, OVH, POLUOSTROV, PTW, RADIOCOM, RTCOMM, SOFTLAYER, SUPERHOST, TERABIT, TEST-UA, THEHOST, Technical Centre Radio Systems, UKRNAMES, Ukraine, Ukrnames, VIKS, VIVANET, Volia, Wnet, X-HOST, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Ukraine - 19 сайтів
• Colocall - 14 сайтів
• Datagroup - 13 сайтів
• MiroHost - 8 сайтів
• Alkar Teleport - 6 сайтів
• Hetzner - 6 сайтів
• Apex - 5 сайтів
• CityTelecom - 4 сайтів
• Dream Line - 4 сайтів
• X-Host - 4 сайтів

Всього було виявлено хостінги 140 сайтів з 158. У випадку інших 18 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tennovation.scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://scm.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://aboutkids.org.ua - інфекція була виявлена 30.06.2016. Зараз сайт входить до переліку підозрілих.
• http://olma.kh.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.
• http://2service.com.ua - інфекція була виявлена 30.06.2016. Зараз сайт не входить до переліку підозрілих.