Websecurity - Веб безпека

У вересні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у жовтні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.10.2015
DDoS на cikdnr.ru - 01-15.10.2015
DDoS на cik-lnr.info - 01-15.10.2015
DDoS на без-вести.рф - 01-15.10.2015
DDoS на ungu.org - 01-15.10.2015
DDoS на pravdatoday.info - 01-15.10.2015
DDoS на bne.su - 01-15.10.2015
DDoS на dnrpress.ru - 01-15.10.2015
DDoS на naspravdi.info - 06-15.10.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gfw.com.ua - інфекція була виявлена 25.10.2015. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 25.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://oltre.com.ua - інфекція була виявлена 25.10.2015. Зараз сайт входить до переліку підозрілих.
• http://mobkiosk.com - інфекція була виявлена 25.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://ukraina.net.ua - інфекція була виявлена 25.10.2015. Зараз сайт не входить до переліку підозрілих.

Влітку відбувся новий масовий взлом сайтів на сервері TheHost. Він відбувся з 05.06.2013 по 10.08.2015. Перший масовий взлом сайтів на сервері TheHost відбувся раніше.

Був взломаний сервер української компанії TheHost. Взлом складався з багатьох окремих дефейсів.

Всього був взломаний 31 сайт на сервері хостера TheHost (IP 91.234.33.250). Це наступні сайти: europumps.com.ua, ifox.biz, bassein-ozero.com.ua, grafio-decor.com.ua, homemadedrink.com.ua, indyuk.com.ua, dom-yagotin.com.ua, remontluxe.kiev.ua, rizka.kiev.ua, action.vishop.com.ua, uafkl.com.ua, dor-znak.pp.ua, my.selyandia.ru, jurinvest.vst-group.com, admin-blog.pp.ua, yacheslav-sherstiuk.com, transform-energo.com.ua, selyandia.ru, vst-group.com, bassein-ozero.com.ua, www.vacc-ua.aero, indyuk.com.ua, lrsys.com, otkos.dn.ua, rainway.biz, jurinvestprom.com.ua, chicgift.com.ua, eshop.stimpex.com.ua, news1.stimpex.com.ua, pens.stimpex.com.ua, www.sweetbud.com.ua.

Під час взлому хакера Anxiety було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brusyliv-rda.gov.ua (хакером the_warri0r) - 25.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disgvol.gov.ua (хакерами з Ashiyane Digital Security Team) - 12.09.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://devup.com.ua (хакером HaMza-x Ben) - 13.07.2015, зараз сайт вже виправлений адмінами
• http://gorozhanin.com.ua (хакером Matrix Dz) - 12.09.2015, зараз сайт вже виправлений адмінами
• http://infomix.com.ua (хакером Matrix Dz) - 12.09.2015, зараз сайт вже виправлений адмінами

Цього року відбувся масовий взлом сайтів на сервері Ukraine. Він відбувся з 29.01.2015 по 17.10.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Ukraine. Взлом складався з багатьох окремих дефейсів. Вони переважно відбулися після масового взлому сервера 1GB.

Всього було взломано 38 сайтів на сервері хостера Ukraine (IP 185.68.16.59). Перелік сайтів можете подивитися на www.zone-h.org. Від biz-registr.com.ua до webmarketing.org.ua.

З зазначених 38 сайтів 25 сайтів були взломані хакером red virus maroc, 4 сайти хакером d3b~X, по два сайти хакерами Abdellah Elmaghribi і Virus OS та по одному хакерами w4l3XzY3, Team_CC, the_warri0r, muaad scorpion і Ashiyane Digital Security Team.

Масовий дефейс хакером red virus maroc явно був зроблений через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 20.10.2015. Зараз сайт входить до переліку підозрілих.
• http://milkua.info - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://sports.zp.ua - інфекція була виявлена 20.10.2015. Зараз сайт входить до переліку підозрілих.
• http://kig.in.ua - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://roganska.com.ua - інфекція була виявлена 20.10.2015. Зараз сайт не входить до переліку підозрілих.

Про взломи державних сайтів я пишу з 2006 року і постійно наводжу випадки атак (взломів і DDoS) та інфікувань gov.ua сайтів. Ось мій останній звіт про атаки на державні сайти України за 14 років. Але іноді трапляються масові взломи державних сайтів, коли на одному сервері проведені дефейси десятків державних ресурсів.

• Масовий взлом сайтів на сервері Vizor - 12 держ. сайтів
• Масовий взлом сайтів на сервері OIAC - 37 держ. сайтів
• П’ятий масовий взлом сайтів на сервері Freehost - 14 держ. сайтів
• Другий масовий взлом сайтів на сервері Укртелекому - 30 держ. сайтів
• Третій масовий взлом сайтів на сервері Укртелекому - 21 держ. сайт

Таким чином окрім безпеки окремих gov.ua сайтів та проблем з українськими державними сайтами на закордонних хостингах, потрібно дбати про безпеку серверів, де розміщені такі сайти, особливо коли багато сайтів на одному сервері. Також потрібно дбати про безпеку електронної пошти державних служб.

Виходячи з наведеної мною статистики атак на державні сайти за 2001-2015 роки можна стверджувати, що державні сайти України регулярно взламують (та іноді проводять DDoS атаки), в тому числі під час масових дефейсів. Дана ситуація зі взломами gov.ua сайтів, пов’язана з недостатнім рівнем їх безпеки та безпеки серверів, де вони розміщені. Кожна країна в світі повинна слідкувати за безпекою власних державних сайтів, чого я бажаю й Україні.

В 2011 році відбувся масовий взлом сайтів на сервері 1GB. А пізніше відбувся повторний масовий взлом цього ж сервера. Взломи тривали на протязі 2010 - 2015 років: з 09.08.2010 по 14.09.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом складався з багатьох окремих дефейсів. Останні дефейси відбулися після третього масового взлому сайтів на сервері Укртелекому.

Якщо першого разу було взломано 26 сайтів, то цього разу було взломано 68 сайтів на сервері хостера 1GB (IP 195.234.4.52). Всього 94 сайти.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.kyivobljust.gov.ua (в 2011 і 2012) та disg-rivne.gov.ua (в 2015).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stryi-rda.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером KingSam) - 21.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kplsp.if.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт вже виправлений адмінами
• http://mebl-tisa.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий хостером в зв’язку зі взломом
• http://roslynakarpat.com.ua (хакером Red hell sofyan) - 03.08.2015, зараз сайт вже виправлений адмінами

Торік відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся 27-28.02.2014 і 20-21.05.2014. Другий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Взлом складався з двох масових дефейсів.

Всього був взломаний 21 сайт (причому всі державні) на сервері хостера Укртелеком (IP 212.113.36.194). Це наступні українські державні сайти: novomoskovsk-rada.gov.ua, uns.adm-pl.gov.ua, brody-rda.gov.ua, agroprom.gov.ua, apcourtlg.gov.ua, dzz.gov.ua, nmrda.gov.ua, sumy.ukrstat.gov.ua, vbeloz.gov.ua, kryshtalevypalats.gov.ua, mrr.gov.ua, khedai.gov.ua, pfu-sumy.gov.ua, sumyrayrada.gov.ua, sumylis.gov.ua, rada-vv.gov.ua, dairivne.gov.ua, www.zaksoc.gov.ua, www.dabksumy.gov.ua, rivneoblzem.gov.ua, www.sumyzemres.gov.ua.

З зазначеного 21 сайту 5 сайтів були взломані хакером PentaSec та 16 сайтів хакером Libero.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.