Архів для категорії 'Дослідження'

Інфіковані сайти №225

23:51 13.05.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://igrakot.in.ua - інфекція була виявлена 11.05.2015. Зараз сайт входить до переліку підозрілих.
  • http://el.dp.ua - інфекція була виявлена 09.05.2015. Зараз сайт входить до переліку підозрілих.
  • http://ce.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
  • http://vip-cars.lviv.ua - інфекція була виявлена 30.04.2015. Зараз сайт не входить до переліку підозрілих.
  • http://koledg-knutd.com.ua - інфекція була виявлена 13.05.2015. Зараз сайт не входить до переліку підозрілих.

Інфіковані хостери в 2 півріччі 2014 року

20:01 02.05.2015

В підсумках хакерської активності в Уанеті в 2 півріччі 2014 я зазначав, що всього за цей період я виявив 80 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2014 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, GoDaddy, AboveNet, Besthosting, CityTelecom, Colocall, Compubyte Limited, DCTel, Datagroup, Dream Line, Fortune, Hetzner, ITLAS, IWEB, Internet Communications, LANDIS HOLDINGS, LNUA, LeaseWeb, McLaut, MEDIATEMPLE, METR, MiroHost, NAVIGATOR, NEOCOM, OMNILANCE, POLUOSTROV, RADIOCOM, SOFTLAYER, TEST-UA, Technical Centre Radio Systems, Ukraine, Ukrnames, VIVANET, Volia, Wnet, X-Host, Візор, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  • Datagroup - 10 сайтів
  • Ukraine - 8 сайтів
  • Dream Line - 4 сайтів
  • Hetzner - 4 сайтів
  • MiroHost - 4 сайтів
  • X-Host - 4 сайтів
  • Colocall - 3 сайтів
  • McLaut - 3 сайтів
  • Volia - 3 сайтів
  • CityTelecom - 2 сайтів

Були виявлені хостінги всіх 80 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу SecurityAlert я визначив хостерів під час виявлення цих інфікованих сайтів.

Похакані сайти №292

20:11 01.05.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://marketpro.biz (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
  • http://mantiya.ua (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
  • http://usqb.org.ua (хакером Dr.Pc) - 18.04.2015, зараз сайт не працює

Дванадцятий масовий взлом сайтів на сервері Delta-X

22:41 30.04.2015

В період з 15.02.2014 по 09.04.2015 відбувся дванадцятий масовий взлом сайтів на сервері Delta-X, після одинадцятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Delta-X. Взлом відбувся після згаданого масового взлому сайтів на сервері Server.ua. Взлом складався з кількох масових дефейсів та багатьох окремих дефейсів.

Всього було взломано 260 сайтів на сервері хостера Delta-X (IP 91.222.137.84). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт kamrada.gov.ua.

Під час взломів хакерів d3b~X та YunusIncredibl було дефейснуто багато сайтів, тому немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Стосовно інших, то враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Квітневі DDoS атаки на сайти ДНР і ЛНР

23:54 29.04.2015

У березні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у квітні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на cikdnr.ru - 01-15.04.2015
DDoS на cik-lnr.info - 01-15.04.2015
DDoS на molotpravdu.com - 01-15.04.2015
DDoS на без-вести.рф - 01-15.04.2015
DDoS на ungu.org - 01-15.04.2015
DDoS на pravdatoday.info - 01-15.04.2015
DDoS на 2news.com.ua - 01.04.2015
DDoS на bne.su - 01-15.04.2015
DDoS на lvs-global.ru - 01-15.04.2015
DDoS на slemtt.myjino.ru - 01-15.04.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Інфіковані сайти №224

22:49 29.04.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://kosei.dp.ua - інфекція була виявлена 18.04.2015. Зараз сайт входить до переліку підозрілих.
  • http://oba.dp.ua - інфекція була виявлена 24.04.2015. Зараз сайт входить до переліку підозрілих.
  • http://tutlink.com - інфекція була виявлена 27.04.2015. Зараз сайт не входить до переліку підозрілих.
  • http://o-peresolyak.org.ua - інфекція була виявлена 09.04.2015. Зараз сайт не входить до переліку підозрілих.
  • http://artconsult.com.ua - інфекція була виявлена 25.04.2015. Зараз сайт не входить до переліку підозрілих.

Веб додатки на інфікованих сайтах в 2014 році

20:06 28.04.2015

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2014 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 83 сайти, а в другому півріччі було інфіковано 80 сайтів. Всього 163 сайтів за 2014 рік. І з них на 70 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 25
DataLife Engine - 9
WordPress - 9
Drupal - 6
uCoz - 6
CNCat - 3
Zen Cart - 2
I-Soft Bizness - 1
Kohana - 1
osCommerce - 1
PHP-Nuke - 1
PrestaShop - 1
SiteEdit - 1
WebCommander CMS - 1
Webconstructor - 1
WebElite CMS - 1
Webo CMS - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Похакані сайти №291

22:41 24.04.2015

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://autobaza.pz.gov.ua (хакером Cyb3r_Sw0rd) - 24.02.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.dzhankoi-rada.gov.ua (хакером Nofawkx Al) - 26.02.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://tarplast.com.ua (хакером the_warri0r) - 25.03.2015, зараз сайт вже виправлений адмінами
  • http://www.academy.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
  • http://dontechprom.ua (хакером YunusIncredibl) - 10.03.2015, зараз сайт вже виправлений адмінами

Веб додатки на інфікованих сайтах в 2 півріччі 2014 року

23:56 23.04.2015

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2014, я згадував, що в другому півріччі було інфіковано 80 сайтів (з них 2 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2014 року, і на 32 сайтах вдалося виявити движки. Частина з 80 сайтів вже не працювала, декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 7
DataLife Engine - 4
WordPress - 4
Drupal - 3
uCoz - 3
CNCat - 2
Zen Cart - 2
I-Soft Bizness - 1
Kohana - 1
osCommerce - 1
PHP-Nuke - 1
PrestaShop - 1
WebCommander CMS - 1
WebElite CMS - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Інфіковані сайти №223

22:45 22.04.2015

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://kosei.com.ua - інфекція була виявлена 16.04.2015. Зараз сайт входить до переліку підозрілих.
  • http://luxrent.od.ua - інфекція була виявлена 21.04.2015. Зараз сайт не входить до переліку підозрілих.
  • http://akeemdom.com - інфекція була виявлена 23.04.2015. Зараз сайт входить до переліку підозрілих.
  • http://seged.od.ua - інфекція була виявлена 30.03.2015. Зараз сайт не входить до переліку підозрілих.
  • http://peanut.com.ua - інфекція була виявлена 31.03.2015. Зараз сайт не входить до переліку підозрілих.