Websecurity - Веб безпека

Про взломи державних сайтів я пишу з 2006 року і постійно наводжу випадки атак (взломів і DDoS) та інфікувань gov.ua сайтів. Ось мій останній звіт про атаки на державні сайти України за 14 років. Але іноді трапляються масові взломи державних сайтів, коли на одному сервері проведені дефейси десятків державних ресурсів.

• Масовий взлом сайтів на сервері Vizor - 12 держ. сайтів
• Масовий взлом сайтів на сервері OIAC - 37 держ. сайтів
• П’ятий масовий взлом сайтів на сервері Freehost - 14 держ. сайтів
• Другий масовий взлом сайтів на сервері Укртелекому - 30 держ. сайтів
• Третій масовий взлом сайтів на сервері Укртелекому - 21 держ. сайт

Таким чином окрім безпеки окремих gov.ua сайтів та проблем з українськими державними сайтами на закордонних хостингах, потрібно дбати про безпеку серверів, де розміщені такі сайти, особливо коли багато сайтів на одному сервері. Також потрібно дбати про безпеку електронної пошти державних служб.

Виходячи з наведеної мною статистики атак на державні сайти за 2001-2015 роки можна стверджувати, що державні сайти України регулярно взламують (та іноді проводять DDoS атаки), в тому числі під час масових дефейсів. Дана ситуація зі взломами gov.ua сайтів, пов’язана з недостатнім рівнем їх безпеки та безпеки серверів, де вони розміщені. Кожна країна в світі повинна слідкувати за безпекою власних державних сайтів, чого я бажаю й Україні.

В 2011 році відбувся масовий взлом сайтів на сервері 1GB. А пізніше відбувся повторний масовий взлом цього ж сервера. Взломи тривали на протязі 2010 - 2015 років: з 09.08.2010 по 14.09.2015. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії 1GB. Взлом складався з багатьох окремих дефейсів. Останні дефейси відбулися після третього масового взлому сайтів на сервері Укртелекому.

Якщо першого разу було взломано 26 сайтів, то цього разу було взломано 68 сайтів на сервері хостера 1GB (IP 195.234.4.52). Всього 94 сайти.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.kyivobljust.gov.ua (в 2011 і 2012) та disg-rivne.gov.ua (в 2015).

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stryi-rda.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером KingSam) - 21.08.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kplsp.if.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт вже виправлений адмінами
• http://mebl-tisa.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий хостером в зв’язку зі взломом
• http://roslynakarpat.com.ua (хакером Red hell sofyan) - 03.08.2015, зараз сайт вже виправлений адмінами

Торік відбувся новий масовий взлом сайтів на сервері Укртелекому. Він відбувся 27-28.02.2014 і 20-21.05.2014. Другий масовий взлом сайтів на сервері Укртелекому відбувся раніше.

Був взломаний сервер української компанії Укртелеком. Взлом складався з двох масових дефейсів.

Всього був взломаний 21 сайт (причому всі державні) на сервері хостера Укртелеком (IP 212.113.36.194). Це наступні українські державні сайти: novomoskovsk-rada.gov.ua, uns.adm-pl.gov.ua, brody-rda.gov.ua, agroprom.gov.ua, apcourtlg.gov.ua, dzz.gov.ua, nmrda.gov.ua, sumy.ukrstat.gov.ua, vbeloz.gov.ua, kryshtalevypalats.gov.ua, mrr.gov.ua, khedai.gov.ua, pfu-sumy.gov.ua, sumyrayrada.gov.ua, sumylis.gov.ua, rada-vv.gov.ua, dairivne.gov.ua, www.zaksoc.gov.ua, www.dabksumy.gov.ua, rivneoblzem.gov.ua, www.sumyzemres.gov.ua.

З зазначеного 21 сайту 5 сайтів були взломані хакером PentaSec та 16 сайтів хакером Libero.

Цілком імовірно, що дані сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tehnoplankton.net.ua - інфекція була виявлена 01.10.2015. Зараз сайт входить до переліку підозрілих.
• http://luxeon.ua - інфекція була виявлена 06.10.2015. Зараз сайт не входить до переліку підозрілих.
• http://odessa.net - інфекція була виявлена 30.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://ratex.com.ua - інфекція була виявлена 30.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://waterlife.in.ua - інфекція була виявлена 04.08.2015. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.man.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 07.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sumy.ukrstat.gov.ua (хакером Nofawkx Al) - 27.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://aiki-do.org.ua (хакером BrazilObscure) - 19.05.2015, зараз сайт вже виправлений адмінами
• http://chola.com.ua (хакером BrazilObscure) - 19.05.2015, зараз сайт вже не працює
• http://www.economiclaw.dn.ua (хакером Red hell sofyan) - 05.09.2015, зараз сайт вже виправлений адмінами

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2015 року.

За першу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2014 року. 388 атаки на веб сайти проти 371 - це дещо більша активність (зростання на 4,6%). Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2015 року - за період з 01.01.2015 по 30.06.2015.

За цей час були взломані наступні сайти:

• kamrada.gov.ua (хакером ElKiller) - 01.01.2015 - похаканий державний сайт
• old.adm-baryshivka.gov.ua (хакером ZoRRoKiN) - 01.01.2015 - похаканий державний сайт
• www.difku.gov.ua (хакером Dr.SHA6H) - 04.01.2015 - похаканий державний сайт
• www.garden.gov.ua (хакером Dr.SHA6H) - 04.01.2015 - похаканий державний сайт
• www.gayrayrada.gov.ua (хакером Dr.SHA6H) - 04.01.2015 - похаканий державний сайт
• marketpro.biz (хакером wongbodo) - 04.01.2015
• mantiya.ua (хакером wongbodo) - 04.01.2015
• bogodukhivrda.gov.ua (хакером Error 7rB) - 05.01.2015 - похаканий державний сайт
• new.bogodukhivrda.gov.ua (хакером Error 7rB) - 05.01.2015 - похаканий державний сайт
• avajart.com (хакером Sni-PeO) - 05.01.2015
• driada.pw (хакером Sni-PeO) - 05.01.2015
• livestarobelsk.org (Українські Кібер Війська) - 07.01.2015
• www.lgbtnews.in.ua (хакером d3b~X) - 10.01.2015
• DDoS атака на uatoday.tv (невідомими хакерами) - 12.01.2015
• kprda.gov.ua (хакером Error 7rB) - 13.01.2015 - похаканий державний сайт
• plg.com.ua (хакером d3b~X) - 13.01.2015
• www.newgas.org.ua (хакером 1967) - 15.01.2015
• memkuzn.com.ua (хакером ABDELLAH) - 17.01.2015
• www.polit.univ.kiev.ua (хакером elza3ym) - 21.01.2015
• svk.gov.ua (хакерами з Ashiyane Digital Security Team) - 22.01.2015 - похаканий державний сайт
• pustomyty-rada.gov.ua (хакером moroccanwolf) - 27.01.2015 - похаканий державний сайт
• DDoS атака на versii.if.ua (невідомими хакерами) - 29.01.2015
• biz-registr.com.ua (хакерами з Ashiyane Digital Security Team) - 29.01.2015
• www.medbat.org.ua (хакером NirMo Black_Dz) - 30.01.2015
• DDoS атака на yatsenyuk.org.ua (КіберБеркут) - 31.01.2015
• oto.codemotion.com.ua (хакером SWAT) - 01.02.2015
• 61 сайт на сервері Ukraine (хакером ZoRRoKiN та іншими) - 01.02.2015
• forum.sev-event.com (хакером d3b~X) - 03.02.2015
• 85 сайт на сервері Ukraine (хакером ZoRRoKiN та іншими) - 05.02.2015
• loko.pz.gov.ua (хакером NULLpOint7r) - 10.02.2015 - похаканий державний сайт
• www.lubimovka.in.ua (хакером muaad scorpion) - 11.02.2015
• vv.gov.ua (російськими хакерами) - 15.02.2015 і 23.03.2015 - похаканий державний сайт
• 47 сайтів на сервері Ukraine (хакером CoMoDo та іншими) - 15.02.2015
• mbc.mk.ua (невідомими хакерами) - 16.02.2015
• www.oblrada.lviv.ua (російськими хакерами) - 17.02.2015 - похаканий державний сайт
• best-lviv.org.ua (хакерами з Blacksmith Hackers) - 19.02.2015
• www.botoksil.com.ua (хакером Blacksmith Hackers) - 21.02.2015
• autobaza.pz.gov.ua (хакером Cyb3r_Sw0rd) - 24.02.2015 - похаканий державний сайт
• www.dzhankoi-rada.gov.ua (хакером Nofawkx Al) - 26.02.2015 - похаканий державний сайт
• www.academy.org.ua (хакером Nofawkx Al) - 26.02.2015
• www.pyriatyn.org.ua (хакером Nofawkx Al) - 26.02.2015
• www.psmr.com.ua (хакером Nofawkx Al) - 26.02.2015
• www.hrebinka.org.ua (хакером Nofawkx Al) - 26.02.2015
• steelworkshop.kharkov.ua (хакером D3||v||EnT0r) - 27.02.2015
• icarservice.com.ua (хакером ZoRRoKiN) - 27.02.2015
• www.nissanforklift.com.ua (хакером NG689Skw) - 28.02.2015
• DDoS атака на mil.gov.ua (російськими хакерами) - 03.2015
• shangpree.com.ua (хакером the_warri0r) - 02.03.2015
• novars.com.ua (хакером Virus OS) - 04.03.2015
• peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015 - похаканий державний сайт
• 906090.in.ua (хакером d3b~X) - 05.03.2015
• ukrobaza.ru (Українські Кібер Війська) - 07.03.2015
• www.ojigivcirada.gov.ua (хакером Error 7rB) - 08.03.2015 - похаканий державний сайт
• tvbusinessconference.com (хакерами з Islamic State) - 08.03.2015
• www.schaslyve.org.ua (хакером d3b~X) - 08.03.2015
• gurt-cactus.com.ua (хакерами з Islamic State) - 09.03.2015
• dai.kharkov.ua (хакерами з Kosova Hacktivists) - 09.03.2015 - похаканий державний сайт
• dontechprom.ua (хакером YunusIncredibl) - 10.03.2015
• izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015 - похаканий державний сайт
• autocopilot.com.ua (хакером CaptSalkus48) - 11.03.2015
• disg-rivne.gov.ua (хакером Kuroi’SH) - 16.03.2015 - похаканий державний сайт
• tvmeasurements.org (хакером w4l3XzY3) - 20.03.2015
• mebel-german.com (хакером the_warri0r) - 25.03.2015
• tarplast.com.ua (хакером the_warri0r) - 25.03.2015
• sts-rrada.gov.ua (хакером Nofawkx Al) - 28.03.2015 - похаканий державний сайт
• x-true.info (Українські Кібер Війська) - 31.03.2015
• www.busk-rda.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт
• www.isc.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт
• www.dnpb.gov.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015 - похаканий державний сайт
• law.lnu.edu.ua (хакерами з Moroccan Islamic Union-Mail) - 02.04.2015
• seo-master.in.ua (хакером HolaKo) - 03.04.2015
• music-blog.org.ua (хакером ZoRRoKiN) - 05.04.2015
• assl.com.ua (хакером ZoRRoKiN) - 05.04.2015
• www.ekonomika.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт
• old.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт
• www.usm.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт
• www.chat.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт
• ipo.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт
• 29 gov.ua сайтів на сервері Укртелекому (хакерами з Moroccan Islamic Union-Mail) - 07.04.2015 - похакані державні сайти
• klichko-udar.mk.ua (хакером Moroccan Agent Secret) - 08.04.2015
• cosmomarket.com.ua (хакерами з Team_CC) - 08.04.2015
• udf.gov.ua (хакером RxR) - 14.04.2015 - похаканий державний сайт
• glorytrade.com.ua (хакером d3b~X) - 14.04.2015
• cvoas.gov.ua (хакером AKINCILAR) - 18.04.2015 - похаканий державний сайт
• usqb.org.ua (хакером Dr.Pc) - 18.04.2015
• judiciary.chv.ua (хакером AKINCILAR) - 18.04.2015
• www.medoks-clinic.com (хакером the_warri0r) - 18.04.2015
• dnr24.su (Українські Кібер Війська) - 22.04.2015
• www.sport-uprav.cv.ua (хакером Karim-TN) - 29.04.2015
• mvs.dndz.gov.ua (хакером red virus maroc) - 30.04.2015 - похаканий державний сайт
• rada-semipolki.gov.ua (хакерами з Ashiyane Digital Security Team) - 01.05.2015 - похаканий державний сайт
• www.vostorg.ua (хакером el Moujahidin) - 03.05.2015
• autodop.kiev.ua (хакерами Lakhdar Dz і Moh Ooasiic) - 03.05.2015
• 7ass.com.ua (хакером Kuroi’SH) - 13.05.2015
• edutransform.org (хакерами з AntiHackerz) - 14.05.2015
• sdshoes.kiev.ua (хакером MASKHACKER) - 16.05.2015
• renshinkai.com.ua (хакером BrazilObscure) - 19.05.2015
• logistic-center.com.ua (хакером BrazilObscure) - 19.05.2015
• higashishop.com (хакером BrazilObscure) - 19.05.2015
• aiki-do.org.ua (хакером BrazilObscure) - 19.05.2015
• chola.com.ua (хакером BrazilObscure) - 19.05.2015
• footyball.ua (хакерами DJ Akkon & Dofy) - 20.05.2015
• kmr.gov.ua (хакером red virus maroc) - 23.05.2015 - похаканий державний сайт
• 25 сайтів на сервері Ukraine (хакером red virus maroc) - 24.05.2015
• www.nadiyavv.com.ua (хакерами з Team_CC) - 26.05.2015
• 17 сайтів на сервері Besthosting 31.41.216.81 (хакером Nassim Patchika) - 27.05.2015
• mei.btsau.edu.ua (хакером Virus IRAQ) - 30.05.2015
• chemeris.com.ua (хакером w4l3XzY3) - 02.06.2015
• ivfdai.gov.ua (хакерами з SecurityCrewz) - 03.06.2015 - похаканий державний сайт
• chemeris.kiev.ua (хакером w4l3XzY3) - 03.06.2015
• aikido.if.ua (хакерами з SecurityCrewz) - 03.06.2015
• aikikai.com.ua (хакерами з SecurityCrewz) - 03.06.2015
• kplsp.if.ua (хакерами з SecurityCrewz) - 03.06.2015
• mebl-tisa.com.ua (хакерами з SecurityCrewz) - 03.06.2015
• aliansovs.com.ua (хакерами з SecurityCrewz) - 03.06.2015
• uindigo.com (хакером El Moujahidin) - 11.06.2015
• tribunal-today.ru (Українські Кібер Війська) - 12.06.2015
• мебель-житомир.com.ua (хакером Virus OS) - 16.06.2015
• www.ozerki.com.ua (хакерами з Team_CC) - 17.06.2015
• wp1.kit-sleuth.in.ua (хакером ZoRRoKiN) - 18.06.2015
• dszn-zoda.gov.ua (хакером Phenomene Dz) - 19.06.2015 - похаканий державний сайт
• www.ekuzt.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт
• www.busk-rada.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт
• www.stryirairada.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт
• www.stryi-rda.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт
• www.arktur.com.ua (хакером Phenomene Dz) - 21.06.2015
• robota.lviv.ua (хакером Phenomene Dz) - 21.06.2015
• www.nyanyapark.lviv.ua (хакером Phenomene Dz) - 21.06.2015
• zhytomyr.man.gov.ua (хакерами з Fallaga Team) - 26.06.2015 - похаканий державний сайт
• sumy.ukrstat.gov.ua (хакером Nofawkx Al) - 27.06.2015 - похаканий державний сайт

З них взломано 71 державних сайтів. Що менше ніж в аналогічному періоді минулого року. Та одна DDoS атака на gov.ua-сайт.

Також були інфіковані 88 сайтів, які вірогідно були похакані в цьому році. Що більше ніж 83 інфікованих сайтів за аналогічний період минулого року (зростання на 6%).

Інфіковані сайти у першій половині 2015 року: inetlove.com.ua, burics.info, vivasanint.com.ua, vist.dp.ua, invika.com.ua, i.kiev.ua, users.i.kiev.ua, imperya.biz.ua, bibigon.com.ua, i.com.ua, add.in.ua, kust.net.ua, ohrana-ua.com, users.i.com.ua, info-build.com.ua, ukrpolsped.com, ukraine-company.com.ua, vdohnovenie.kiev.ua, pride.in.ua, infocombiz.com.ua, pr-ukraine.kiev.ua, serfak.pp.ua, perekrestok.in.ua, dzerkalo-zakarpattya.com, tvbest.com.ua, loads.com.ua, market.ucoz.ua, law-office.com.ua, tarif.pp.ua, mycounter.ua, lovens.pp.ua, infolist.kh.ua, traf.pp.ua, georg.kiev.ua, vsvete.com.ua, osvita-nv.kh.ua, screenshot.com.ua, staroverovka.ucoz.ua, kosei.com.ua, luxrent.od.ua, akeemdom.com, seged.od.ua, peanut.com.ua, kosei.dp.ua, oba.dp.ua, tutlink.com, o-peresolyak.org.ua, artconsult.com.ua, igrakot.in.ua, el.dp.ua, ce.lviv.ua, vip-cars.lviv.ua, koledg-knutd.com.ua, hot-girls.kiev.ua, posulka.at.ua, autoimage.com.ua, towadojo.kiev.ua, naturpharm.com.ua, uman-rada.gov.ua, moloda.org.ua, td.lviv.ua, autosite.ua, delpesto.lviv.ua, tv.te.ua, mystyle.lviv.ua, ukrhost.com, rent-car.lviv.ua, misto.zp.ua, martem.com.ua, lviv.mobi, ekastroy.com.ua, cdd.net.ua, biblprog.org.ua, patoka.in.ua, globalmarket.com.ua, patoka.ua, forbs.com.ua, dominanta-ukr.com, biopol.kiev.ua, 100chehlov.com.ua, te.gov.ua, danica-biola.com.ua, wonder.net.ua, novadoba.com.ua, novadoba.info, motorhouse.com.ua, novadoba.ck.ua, brendmaster.com.

З них інфіковано 2 державних сайтів (що менше ніж в аналогічному періоді минулого року): uman-rada.gov.ua, te.gov.ua.

На початку наступного року підготую звіт за друге півріччя та підведу підсумки за 2015 рік.

Раніше я писав про серпневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у вересні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземними хакерами були проведені неполітичні взломи:

chasovrada.gov.ua (хакером MuhmadEmad) - 10.09.2015

Проукраїнськими хакерами були атаковані наступні сайти:

Вересневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі вересня.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт ispomodnr.ru (через скаргу хостеру) - 09.2015
Закритий сайт ksk.today (через скаргу хостеру) - 09.2015
Закритий сайт melkicedek.com (через скаргу хостеру) - 09.2015
Закритий сайт voxvictims.com (через скаргу хостеру) - 09.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gp.gov.ua - інфікований державний сайт - інфекція була виявлена 16.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://inmak.ua - інфекція була виявлена 28.07.2015. Зараз сайт не входить до переліку підозрілих.
• http://iac4×4.com.ua - інфекція була виявлена 08.08.2015. Зараз сайт входить до переліку підозрілих.
• http://4-links.net - інфекція була виявлена 28.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://bilavezha.kiev.ua - інфекція була виявлена 03.08.2015. Зараз сайт не входить до переліку підозрілих.

У серпні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у вересні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.09.2015
DDoS на cikdnr.ru - 01-15.09.2015
DDoS на cik-lnr.info - 01-15.09.2015
DDoS на без-вести.рф - 01-15.09.2015
DDoS на ungu.org - 01-15.09.2015
DDoS на pravdatoday.info - 01-15.09.2015
DDoS на bne.su - 01-15.09.2015
DDoS на dnrpress.ru - 01-15.09.2015
DDoS на dninews.com - 07-15.09.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.