Websecurity - Веб безпека

У жовтні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у листопаді.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.11.2015
DDoS на cikdnr.ru - 01-15.11.2015
DDoS на cik-lnr.info - 01-15.11.2015
DDoS на без-вести.рф - 01-15.11.2015
DDoS на ungu.org - 01-15.11.2015
DDoS на pravdatoday.info - 01-15.11.2015
DDoS на bne.su - 01-15.11.2015
DDoS на dnrpress.ru - 01-15.11.2015
DDoS на naspravdi.info - 01-15.11.2015
DDoS на europeanfront.info - 10-15.11.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bv.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://conference.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.galsillis.com.ua (українськими хакерами)
• http://robota.lviv.ua (хакером Phenomene Dz) - 21.06.2015, зараз сайт вже виправлений адмінами
• http://www.nyanyapark.lviv.ua (хакером Phenomene Dz) - 21.06.2015, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ubs.gov.ua - інфекція була виявлена 18.11.2015. Зараз сайт входить до переліку підозрілих.
• http://it-shturman.com.ua - інфекція була виявлена 18.11.2015. Зараз сайт не входить до переліку підозрілих.
• http://shvaika.info - інфекція була виявлена 18.11.2015. Зараз сайт входить до переліку підозрілих.
• http://reverse.kiev.ua - інфекція була виявлена 18.11.2015. Зараз сайт не входить до переліку підозрілих.
• http://svpu-profi.lg.ua - інфекція була виявлена 18.11.2015. Зараз сайт не входить до переліку підозрілих.

В підсумках хакерської активності в Уанеті в 1 півріччі 2015 я зазначав, що всього за цей період я виявив 88 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2015 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: AVITI, Alkar Teleport, Apex, BN, Besthosting, CityTelecom, Colocall, DE-FIRSTCOLO, DOMASHKA, Datagroup, FastVPS, Fiord, HOMEPL, HOSTINGER, HOSTKEY, Hetzner, Infocom, LUCKYNET, MASTERTEL, MiroHost, NEOHOST, OVH, PTW, RTCOMM, SUPERHOST, TERABIT, THEHOST, UKRNAMES, Ukraine, VIKS, Volia, X-HOST.

Найбільші інфіковані хостери (TOP-10):

• Colocall - 11 сайтів
• Ukraine - 11 сайтів
• Alkar Teleport - 6 сайтів
• Apex - 5 сайтів
• MiroHost - 4 сайтів
• Datagroup - 3 сайтів
• Fiord - 3 сайтів
• Besthosting - 2 сайтів
• CityTelecom - 2 сайтів
• Hetzner - 2 сайтів

Всього було виявлено хостінги 74 сайтів з 88. У випадку інших 14 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах). За допомогою власної системи моніторингу SecurityAlert в більшості випадків я визначив хостерів під час виявлення цих інфікованих сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://udaiciinternat.com.ua - інфекція була виявлена 31.10.2015. Зараз сайт входить до переліку підозрілих.
• http://akva-plus.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://vntu.edu.ua - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://gotnorest.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://vita-infinity.com - інфекція була виявлена 31.10.2015. Зараз сайт не входить до переліку підозрілих.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2015, я згадував, що в першому півріччі було інфіковано 88 сайти (з них 2 державних сайти).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2015 року, і на 39 сайтах вдалося виявити движки. Частина з 88 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

WordPress - 13
Joomla - 12
DataLife Engine - 7
uCoz - 3
CNCat - 1
Drupal - 1
GetSimple - 1
I-Soft Bizness - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://cgo.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kleenflo.com.ua (хакером Red hell sofyan)
• http://aliansovs.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий
• http://artbjuro.org (хакером ViRuS OS) - 16.08.2015, зараз сайт вже виправлений адмінами

Раніше я писав про вересневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у жовтні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

drohobych-rda.gov.ua (хакером ZoRRoKiN) - 22.10.2015
nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015

Проукраїнськими хакерами були атаковані наступні сайти:

Жовтневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі жовтня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт liveinternet-news.ru (через скаргу хостеру) - 10.2015
Закритий державний сайт bryanka-rada.gov.ua, що був захоплений терористами (через звернення до СБУ) - 10.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://edmebel.kh.ua - інфекція була виявлена 28.10.2015. Зараз сайт входить до переліку підозрілих.
• http://aktes.com.ua - інфекція була виявлена 28.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://warshavskiy.com.ua - інфекція була виявлена 28.10.2015. Зараз сайт входить до переліку підозрілих.
• http://miovoco.com - інфекція була виявлена 28.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://intelweb.com.ua - інфекція була виявлена 28.10.2015. Зараз сайт не входить до переліку підозрілих.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 01.02.2015 по 19.09.2015. Перший масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з багатьох окремих дефейсів. Вони переважно відбулися після масового взлому сервера TheHost.

Всього був взломаний 61 сайт на сервері хостера Ukraine (IP 185.68.16.170). Перелік сайтів можете подивитися на www.zone-h.org. Від www.electrocars.com.ua до arinabirthday.com.ua.

З зазначених 61 сайтів 37 сайтів були взломані хакером ZoRRoKiN, 11 сайтів хакером aAn, 6 сайтів хакером ViRuS OS та по одному хакерами Team_CC, AlFeRoX, ByGeceMavisi, jangene_cakep, NG689Skw, HolaKo, the_warri0r.

Масові дефейси хакерами ZoRRoKiN і aAn явно був зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.