Websecurity - Веб безпека

У травні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у червні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.06.2016
DDoS на cikdnr.ru - 01-15.06.2016
DDoS на cik-lnr.info - 01-15.06.2016
DDoS на без-вести.рф - 01-15.06.2016
DDoS на ungu.org - 01-15.06.2016
DDoS на bne.su - 01-15.06.2016
DDoS на dnrpress.ru - 01-15.06.2016
DDoS на europeanfront.info - 01-15.06.2016
DDoS на batalyonmoskva.ru - 01-15.06.2016
DDoS на icp.su - 01-15.06.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В підсумках хакерської активності в Уанеті в 2 півріччі 2015 я зазначав, що всього за цей період я виявив 70 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2015 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, GoDaddy, AboveNet, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, Datagroup, Dream Line, Fortune, Hetzner, ITLAS, IWEB, Internet Communications, LANDIS HOLDINGS, LNUA, LeaseWeb, McLaut, MEDIATEMPLE, METR, MiroHost, NAVIGATOR, NEOCOM, OMNILANCE, POLUOSTROV, RADIOCOM, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, Ukraine, Ukrnames, VIVANET, Volia, Wnet, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

• Datagroup - 10 сайтів
• Ukraine - 8 сайтів
• Dream Line - 4 сайтів
• Hetzner - 4 сайтів
• MiroHost - 4 сайтів
• X-Host - 4 сайтів
• Colocall - 3 сайтів
• McLaut - 3 сайтів
• Volia - 3 сайтів
• CityTelecom - 2 сайтів

Всього було виявлено хостінги 66 сайтів з 70 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу SecurityAlert я визначив хостерів під час виявлення цих інфікованих сайтів.

Раніше я писав про квітневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у травні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

udf.gov.ua (хакером RxR) - 20.05.2016
monrda.gov.ua (хакером RxR) - 22.05.2016
Та багато інших gov.ua сайтів.

Російські хакери провели політичні взломи державних сайтів:

loda.gov.ua (хакерами з СПРУТ) - 12.05.2016
FB акаунт ЛОДА (хакерами з СПРУТ) - 12.05.2016
TW акаунт ЛОДА (хакерами з СПРУТ) - 12.05.2016

Проукраїнськими хакерами були атаковані наступні сайти:

Травневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт centerkor-ua.org (через скаргу хостеру) - 05.2016
Закритий сайт borotba.su (через скаргу хостеру) - 05.2016
Закритий сайт narodtrebunal.tk (через скаргу хостеру) - 24.05.2016

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ratnezem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://novagromada.gov.ua (хакером bl4ck_cod3) - 14.03.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lime.od.ua (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами
• http://chelshop.com (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами
• http://agromeh.od.ua (хакером TheWayEnd) - 23.03.2016, зараз сайт вже виправлений адмінами

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 03.04.2015 по 27.05.2016. П’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 50 сайтів на сервері хостера Ukraine (IP 185.68.16.118). Перелік сайтів можете подивитися на www.zone-h.org. Серед них державний сайт kuibrda.gov.ua.

З зазначених 50 сайтів 24 сайти були взломані хакерами з TeaM_CC, 9 сайтів хакером Mr.Ferksh, 5 сайтів хакером Matrix Dz, 4 сайти хакером Moh Ooasiic, 3 сайти хакером Dr.ViP, 2 сайти хакером TheWayEnd та по одному хакерами RootDeveloper, Karahan, HolaKo.

Масові дефейси хакерами з TeaM_CC і Mr.Ferksh явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://res.com.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://7sky.net.ua - інфекція була виявлена 24.05.2016. Зараз сайт входить до переліку підозрілих.
• http://fpd.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://kondi.kiev.ua - інфекція була виявлена 24.05.2016. Зараз сайт не входить до переліку підозрілих.

У квітні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у травні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.05.2016
DDoS на cikdnr.ru - 01-15.05.2016
DDoS на cik-lnr.info - 01-15.05.2016
DDoS на без-вести.рф - 01-15.05.2016
DDoS на ungu.org - 01-15.05.2016
DDoS на bne.su - 01-15.05.2016
DDoS на dnrpress.ru - 01-15.05.2016
DDoS на europeanfront.info - 01-15.05.2016
DDoS на batalyonmoskva.ru - 01-15.05.2016
DDoS на icp.su - 01-15.05.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://loda.gov.ua (хакерами з СПРУТ) - 12.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tyriyskzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://liubeshivzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ntpu.org.ua (хакером bl4ck_cod3) - 14.03.2016, зараз сайт вже виправлений адмінами
• http://www.kleps.com.ua (хакером WebHan) - 19.04.2016, зараз сайт вже виправлений адмінами

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2015 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 88 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 158 сайтів за 2015 рік. І з них на 75 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 27
WordPress - 23
DataLife Engine - 9
uCoz - 4
Bitrix Site Manager - 2
CMS Lime - 1
CNCat - 1
CodeIgniter - 1
Drupal - 1
GetSimple - 1
I-Soft Bizness - 1
MODx - 1
Movable Type - 1
OpenCart - 1
PrestaShop - 1

Зазначу, що лідери серед веб додатків у першому й другому півріччі були незмінними (лише Joomla і WordPress мінялися місцями). Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://e-shop.uaslotcar.com - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-bm.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://lrt.kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kaf-ef.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://bugor.lg.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.