Websecurity - Веб безпека

Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у грудні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

kyiv-oblosvita.gov.ua (хакерами з Ashiyane Digital Security Team) - 10.12.2015

Проукраїнськими хакерами були атаковані наступні сайти:

gazeta-dnr.ru (Українські Кібер Війська) - 15.12.2015
dnr-online.ru (Українські Кібер Війська) - 30.12.2015
Грудневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі грудня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ombudsmandnr.org (через скаргу хостеру) - 12.2015
Закритий сайт istina.com.ua (через скаргу хостеру) - 12.2015
Закритий окупований державний сайт dzhankoi-rada.gov.ua (через звернення до СБУ) - 12.2015
Закритий окупований державний сайт krp-rada.gov.ua (через звернення до СБУ) - 12.2015

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 15.02.2015 по 25.12.2015. Третій масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів. Більшу частину сайтів дефейснули сьогодні.

Всього був взломано 47 сайтів на сервері хостера Ukraine (IP 185.68.16.126). Перелік сайтів можете подивитися на www.zone-h.org.

З зазначених 47 сайтів 27 сайтів були взломані хакером CoMoDo, 10 сайтів хакером qeles-hacker, 3 сайти хакером ZoRRoKiN, 3 сайти хакерами з Blacksmith Hackers та по одному хакерами TheZero, Lakhdar DZ, khdeface, d3b~X.

Масові дефейси хакерами CoMoDo і qeles-hacker явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pma.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://np.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://angelyatko.com.ua (хакером @N3TH0L3)
• http://www.ziko.com.ua (хакером Achraf Dz) - 14.07.2015, зараз сайт вже виправлений адмінами
• http://viknastail.lviv.ua (хакером Achraf Dz) - 14.07.2015, зараз сайт вже виправлений адмінами

У листопаді вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у грудні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.12.2015
DDoS на cikdnr.ru - 01-15.12.2015
DDoS на cik-lnr.info - 01-15.12.2015
DDoS на без-вести.рф - 01-15.12.2015
DDoS на ungu.org - 01-15.12.2015
DDoS на pravdatoday.info - 01-15.12.2015
DDoS на bne.su - 01-15.12.2015
DDoS на dnrpress.ru - 01-15.12.2015
DDoS на naspravdi.info - 01-15.12.2015
DDoS на europeanfront.info - 01-15.12.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sdo.pp.ua - інфекція була виявлена 22.12.2015. Зараз сайт входить до переліку підозрілих.
• http://4-u.com.ua - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://kamen.kh.ua - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://femina.com.ua - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.
• http://an-krepost.com - інфекція була виявлена 22.12.2015. Зараз сайт не входить до переліку підозрілих.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 05.02.2015 по 03.12.2015. Другий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з трьох масових дефейсів та декількох окремих дефейсів.

Всього був взломано 85 сайтів на сервері хостера Ukraine (IP 185.68.16.170). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт drohobych-rda.gov.ua.

З зазначених 85 сайтів 44 сайти були взломані хакерами з Team_CC, 36 сайтів хакером ZoRRoKiN та по одному хакерами Phenomene Dz, ReSPiRaToR, iCodeR.

Масові дефейси хакерами Team_CC і ZoRRoKiN явно був зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ub.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rksu.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vov66.com (хакером Achraf Dz) - 14.07.2015, зараз сайт вже виправлений адмінами
• http://kbvnanu.kiev.ua (хакером Achraf Dz) - 14.07.2015, зараз сайт вже виправлений адмінами
• http://mindflex.com.ua (хакером Lou Sh) - 03.10.2015, зараз сайт вже виправлений адмінами

Раніше я писав про жовтневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у листопаді.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

voladm.gov.ua (хакером LUN4T1C0) - 09.11.2015

Проукраїнськими хакерами були атаковані наступні сайти:

акаунт сепаратиста в Twitter (Українські Кібер Війська) - 21.11.2015
sgzt.com (Українські Кібер Війська) - 24.11.2015
Листопадові DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі листопада.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт southfront.info (через скаргу хостеру) - 11.2015
Закритий сайт ukropfromua.com (через скаргу хостеру) - 11.2015
Закритий сайт euromaidanu.net (через скаргу хостеру) - 11.2015
Закритий сайт novosti-novostey.tv (через скаргу хостеру) - 11.2015
Закритий державний сайт svk.gov.ua, що був захоплений терористами (через скаргу хостеру) - 11.2015
Закритий державний сайт snezhnoe-rada.gov.ua, що був захоплений терористами (через звернення до СБУ) - 11.2015
Також СБУ закрила сайти krasnodon-pfu.gov.ua і krasnodon-rada.gov.ua - 11.2015
Закритий окупований державний сайт belogorsk.crimea.ua (через вплив на хостера) - 11.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ndok.com.ua - інфекція була виявлена 30.11.2015. Зараз сайт входить до переліку підозрілих.
• http://rassvet.dn.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.
• http://nevagame.pp.ua - інфекція була виявлена 30.11.2015. Зараз сайт входить до переліку підозрілих.
• http://resurs.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.
• http://kratki.in.ua - інфекція була виявлена 30.11.2015. Зараз сайт не входить до переліку підозрілих.

02.03.2013

В грудні відбувся масовий взлом сайтів на сервері Astratelcom. Він тривав на протязі 2012-2013 років: від 03.12.2012 до 03.02.2013, а також було взломано 11 сайтів в 2011 році, про деякі з них я вже розповідав раніше (в тому числі 5 державних сайтів).

Був взломаний сервер української компанії Astratelcom. Взлом в 2012-2013 складався з двох невеликих дефейсів та двох крупних дефейсів сайтів. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 74 сайти на сервері хостера Astratelcom (IP 91.197.17.10). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.izmail-rada.gov.ua (це вже другий дефейс). Перед цим у 2011 році були дефейснуті наступні державні сайти: vip.bereg-rda.gov.ua, sovet.izmail-rada.gov.ua, genich-rada.gov.ua, bereg-rda.gov.ua, izmail-rada.gov.ua.

З зазначених 74 сайтів 61 сайт був взломаний хакером xatli, 1 сайт хакером Sejeal, 1 сайт хакером misafir, 2 сайти хакером MCA-CRB, 1 сайт хакером Hmei7 та 8 сайтів хакером Dr-Angel.

У випадку двох великих дефейсів xatli, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

30.11.2015

Після попередніх 74 сайтів ще було взломано 131 сайт. Всього 205 сайтів. Серед них український державний сайт urss.gov.ua, euroinvest.gov.ua, dolyna-rada.gov.ua, idgk.gov.ua та знову izmail-rada.gov.ua.

Знову був взломаний сервер української компанії Astratelcom. Взлом в 2013-2015 складався з кількох невеликих дефейсів та двох крупних дефейсів сайтів.

Як у випадку двох попередніх великих дефейсів xatli, так і у випадку великих дефейсів IndonesianHaxor7 та Gabby сайти були атаковані хакером через взлом серверу хостінг провайдера.