Websecurity - Веб безпека

Відбувся п’ятий масовий взлом сайтів на сервері Hvosting. Він тривав на протязі 2013-2015 років: з 23.08.2013 до 07.10.2015. Четвертий масовий взлом сайтів на сервері Hvosting відбувся раніше.

Був взломаний сервер української компанії Hvosting. Взлом складався з одного масового дефейсу та багатьох окремих дефейсів. Вони відбулися перед масовим взломом сервера Ukraine.

Всього було взломано 59 сайтів на сервері хостера Hvosting (IP 91.206.200.182). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 59 сайтів 11 сайтів були взломані хакером M.tµcX, 8 сайтів хакером Hmei7 та інші сайти різними хакерами.

Масовий дефейс хакера M.tµcX явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2015, я згадував, що в другому півріччі було інфіковано 70 сайтів (з них один державний сайт).

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2015 року, і на 36 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
Bitrix Site Manager - 2
DataLife Engine - 2
CMS Lime - 1
CodeIgniter - 1
MODx - 1
Movable Type - 1
OpenCart - 1
PrestaShop - 1
uCoz - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ivanychizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vol-volynzem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lato.cpanel1.adamant.ua (хакером Mr.Kro0oz.305) - 06.02.2016, зараз сайт вже виправлений адмінами
• http://www.training-3000.com.ua (хакером BALA SNIPER) - 07.03.2016, зараз сайт вже виправлений адмінами
• http://adrenalinlab.lime.od.ua (хакером TheWayEnd) - 13.03.2016, зараз сайт вже виправлений адмінами

Раніше я писав про березневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.zaksoc.gov.ua (хакером Nofawkx Al) - 23.04.2016
kamdnrda.gov.ua (хакером Nofawkx Al) - 23.04.2016
turivne.gov.ua (хакером Nofawkx Al) - 23.04.2016
Та багато інших gov.ua сайтів.

Російські хакери провели політичні взломи державних сайтів:

loda.gov.ua (хакерами з СПРУТ) - 23.04.2016

Проукраїнськими хакерами були атаковані наступні сайти:

Нагадав про торішній взлом сайтів x-true.info та e-news.su (Українські Кібер Війська)
Квітневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі квітня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт helpnovorossia.ru (через скаргу хостеру) - 04.2016
Закритий сайт patria.su (через скаргу хостеру) - 04.2016

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mak.te.ua - інфекція була виявлена 26.04.2016. Зараз сайт входить до переліку підозрілих.
• http://opz.org.ua - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://uaslotcar.com - інфекція була виявлена 26.04.2016. Зараз сайт входить до переліку підозрілих.
• http://tntu.edu.ua - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://ukrblank.com - інфекція була виявлена 26.04.2016. Зараз сайт не входить до переліку підозрілих.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2015 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Якщо за другу половину 2014 року в Уанеті було проведено 464 атак на веб сайти, то за другу половину 2015 року вже 300 атак на веб сайти - це менша активність (падіння на 35%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2015 року - за період з 01.07.2015 по 31.12.2015.

• www.stomatologist.in.ua (хакером d3b~X) - 03.07.2015
• ukrmetall.com.ua (хакером jangene_cakep) - 03.07.2015
• ukrmetall.biz (хакером jangene_cakep) - 03.07.2015
• ukrmetall.net (хакером jangene_cakep) - 03.07.2015
• ukrmetall.com (хакером jangene_cakep) - 03.07.2015
• forum.ukrmetall.com (хакером jangene_cakep) - 03.07.2015
• аквахимчистка.dp.ua (хакером Hector) - 03.07.2015
• 40 сайтів на сервері Hvosting (хакером HighTech та іншими) - 03.07.2015
• security-systems.in.ua (хакером Abdellah Elmaghribi) - 04.07.2015
• www.help-it.info (хакером Abdellah Elmaghribi) - 04.07.2015
• devup.com.ua (хакером HaMza-x Ben) - 13.07.2015
• avakov.com (хакерами з ERBS) - 14.07.2015
• vov66.com (хакером Achraf Dz) - 14.07.2015
• kbvnanu.kiev.ua (хакером Achraf Dz) - 14.07.2015
• www.ziko.com.ua (хакером Achraf Dz) - 14.07.2015
• viknastail.lviv.ua (хакером Achraf Dz) - 14.07.2015
• kataliz.org.ua (хакером Red hell sofyan) - 15.07.2015
• DDoS на domik.ua (конкурентами) - 15.07.2015
• www.vitelecom.com.ua (хакером Red hell sofyan) - 16.07.2015
• sgzt.com (Українські Кібер Війська) - 19.07.2015, 23.07.2015, 26.08.2015, 24.11.2015
• ibss.nas.gov.ua (хакером M2404) - 21.07.2015 - похаканий державний сайт
• www.domdesigner.com.ua (хакером Red hell sofyan) - 30.07.2015
• 43 сайти на сервері Ukraine (хакером ZoRRoKiN та іншими) - 30.07.2015
• roslynakarpat.com.ua (хакером Red hell sofyan) - 03.08.2015
• kleenflo.com.ua (хакером Red hell sofyan) - 10.08.2015
• 31 сайт на сервері TheHost (хакером Anxiety та іншими) - 10.08.2015
• fontanprint.com (хакером Hyp3r-D4rk) - 11.08.2015
• adrianna.com.ua (хакером Hyp3r-D4rk) - 11.08.2015
• artbjuro.org (хакером ViRuS OS) - 16.08.2015
• svitanok.gov.ua (хакером KingSam) - 21.08.2015 - похаканий державний сайт
• brusyliv-rda.gov.ua (хакером the_warri0r) - 25.08.2015 - похаканий державний сайт
• bluebayhotel.com.ua (хакерами з TeaM_CC) - 26.08.2015
• www.galsillis.com.ua (українськими хакерами) - 03.09.2015
• www.economiclaw.dn.ua (хакером Red hell sofyan) - 05.09.2015
• chasovrada.gov.ua (хакером MuhmadEmad) - 10.09.2015 - похаканий державний сайт
• disgvol.gov.ua (хакерами з Ashiyane Digital Security Team) - 12.09.2015 - похаканий державний сайт
• gorozhanin.com.ua (хакером Matrix Dz) - 12.09.2015
• infomix.com.ua (хакером Matrix Dz) - 12.09.2015
• mindflex.com.ua (хакером Lou Sh) - 03.10.2015
• 59 сайтів на сервері Hvosting (хакером M.tµcX та іншими) - 07.10.2015
• play-karpaty.com (хакером Dr.SiLnT HilL) - 16.10.2015
• webmarketing.org.ua (хакером w4l3XzY3) - 17.10.2015
• www.cp.org.ua (хакером ZoRRoKiN) - 19.10.2015
• drohobych-rda.gov.ua (хакером ZoRRoKiN) - 22.10.2015 - похаканий державний сайт
• nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• cgo.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• bv.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• conference.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• ub.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• rksu.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• pma.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• np.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• maan.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• fpu4.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт
• ego-house.com.ua (хакером UluTurk) - 02.11.2015
• 49 сайтів на сервері Ukraine (хакером Mr.Ferksh та іншими) - 03.11.2015
• voladm.gov.ua (хакером LUN4T1C0) - 09.11.2015 - похаканий державний сайт
• swrailway.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт
• scinn.nas.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт
• www.archivelviv.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт
• www.chervonograd-city.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт
• vilnogirskrada.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт
• www.bankrut.gov.ua (невідомими хакерами) - 11.11.2015 - похаканий державний сайт
• angelyatko.com.ua (хакером @N3TH0L3) - 16.11.2015
• www.faskupon.in.ua (хакером ZoRRoKiN) - 21.11.2015
• kyiv-oblosvita.gov.ua (хакерами з Ashiyane Digital Security Team) - 10.12.2015 - похаканий державний сайт
• proekt.lviv.ua (хакером w4l3XzY3) - 22.12.2015
• agroprom.zt.gov.ua (хакером d3b~X) - 23.12.2015 - похаканий державний сайт
• rajvosevlush.gov.ua (хакером d3b~X) - 25.12.2015 - похаканий державний сайт
• cherrada.gov.ua (хакером d3b~X) - 29.12.2015 - похаканий державний сайт
• korecraizem.gov.ua (хакером d3b~X) - 29.12.2015 - похаканий державний сайт
• berezneland.gov.ua (хакером AlfabetoVirtual) - 31.12.2015 - похаканий державний сайт
• demzem.gov.ua (хакером anonymoux) - 31.12.2015 - похаканий державний сайт
• sarnyzem.gov.ua (хакером anonymoux) - 31.12.2015 - похаканий державний сайт
• dubnozem.gov.ua (хакером anonymoux) - 31.12.2015 - похаканий державний сайт
• mlinzem.gov.ua (хакером Imam) - 31.12.2015 - похаканий державний сайт
• pvl.gov.ua (хакером MuhmadEmad) - 31.12.2015 - похаканий державний сайт
• tarsr.gov.ua (хакерами з Fallaga Team) - 31.12.2015 - похаканий державний сайт
• pologyrda.gov.ua (хакерами з Fallaga Team) - 31.12.2015 - похаканий державний сайт
• chrda.gov.ua (хакерами з Fallaga Team) - 31.12.2015 - похаканий державний сайт
• notary-just.odessa.gov.ua (хакером Nofawkx Al) - 31.12.2015 - похаканий державний сайт
• kvartira-dom.zp.ua (хакерами з Fallaga Team) - 31.12.2015
• valuta.zp.ua (хакерами з Fallaga Team) - 31.12.2015

З них взломано 38 державних сайтів. Що менше ніж в аналогічному періоді минулого року. Та не було DDoS атак на gov.ua-сайти.

Також були інфіковані 70 сайтів, які вірогідно були похакані в минулому році. Що менше 80 інфікованих сайтів в другій половині 2014 (падіння на 12,5%).

Інфіковані сайти у другій половині 2015 року: i.ua, uaz.net.ua, worldua.info, brigada3.com, orangetravel.com.ua, ispolnitel.com, melnik.mk.ua, webdo.com.ua, hamradio.at.ua, izmail-dx.com, 5tasks.com, rbc.ua, psi.com.ua, lana.com.ua, truboprovod.in.net, gp.gov.ua, inmak.ua, iac4×4.com.ua, 4-links.net, bilavezha.kiev.ua, tehnoplankton.net.ua, luxeon.ua, odessa.net, ratex.com.ua, waterlife.in.ua, chasy.com.ua, milkua.info, sports.zp.ua, kig.in.ua, roganska.com.ua, gfw.com.ua, dosk.kiev.ua, oltre.com.ua, mobkiosk.com, ukraina.net.ua, edmebel.kh.ua, aktes.com.ua, warshavskiy.com.ua, miovoco.com, intelweb.com.ua, udaiciinternat.com.ua, akva-plus.com, vntu.edu.ua, gotnorest.com, vita-infinity.com, ubs.gov.ua, it-shturman.com.ua, shvaika.info, reverse.kiev.ua, svpu-profi.lg.ua, ndok.com.ua, rassvet.dn.ua, nevagame.pp.ua, resurs.ua, kratki.in.ua, sdo.pp.ua, 4-u.com.ua, kamen.kh.ua, femina.com.ua, an-krepost.com, catalog.biz.ua, vodograi.org, fotolive.com.ua, living.biz.ua, elvis.com.ua, medsvit.com.ua, 2service.com.ua, redhost.info, 7ba.org, akciiskidki.com.

З них інфікований один державний сайт: gp.gov.ua.

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2015 рік.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lokachizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ivanychizem.gov.ua (хакером Kab[u]ss) - 17.02.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://uchkombinat.ks.ua (хакерами Shi5 AlHacker і JM511) - 10.04.2016, зараз сайт вже виправлений адмінами
• http://fontanprint.com (хакером Hyp3r-D4rk) - 11.08.2015, зараз сайт вже виправлений адмінами
• http://adrianna.com.ua (хакером Hyp3r-D4rk) - 11.08.2015, зараз сайт вже виправлений адмінами

У березні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у квітні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.04.2016
DDoS на cikdnr.ru - 01-15.04.2016
DDoS на cik-lnr.info - 01-15.04.2016
DDoS на без-вести.рф - 01-15.04.2016
DDoS на ungu.org - 01-15.04.2016
DDoS на bne.su - 01-15.04.2016
DDoS на dnrpress.ru - 01-15.04.2016
DDoS на europeanfront.info - 01-15.04.2016
DDoS на batalyonmoskva.ru - 01-15.04.2016
DDoS на icp.su - 01-15.04.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://michaniki-ukraine.com - інфекція була виявлена 19.04.2016. Зараз сайт входить до переліку підозрілих.
• http://expert.com.ua - інфекція була виявлена 12.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://7ba.org - інфекція була виявлена 12.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://favorithotel.com - інфекція була виявлена 12.04.2016. Зараз сайт не входить до переліку підозрілих.
• http://keramiccity.com.ua - інфекція була виявлена 12.04.2016. Зараз сайт не входить до переліку підозрілих.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 30.01.2015 по 26.03.2016. Четвертий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 43 сайти на сервері хостера Ukraine (IP 185.68.16.12). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 43 сайтів 21 сайт був взломані хакером ZoRRoKiN, 12 сайтів хакером El Moujahidin, 3 сайти хакером NirMo Black_Dz, 2 сайти хакером KkK1337 та по одному хакерами Moroccan Revolution, World Hack Team, Sh0uT0u7, NG689Skw, d3b~X.

Масові дефейси хакерами ZoRRoKiN і El Moujahidin явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.