Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zakarpat-rada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zak-rada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://buksport.cv.ua (хакером nuki)
• http://zfiz.nau.edu.ua (хакером Leon)
• http://www.flowers-dp.com (хакером Hmei7) - 02.03.2014, зараз сайт вже виправлений адмінами

21.11.2012

У вересні, 25.09.2012, відбувся масовий взлом сайтів на сервері OIAC. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії OIAC - Обласного інформаційно-аналітичного центру. На якому хостилося 34 gov.ua сайти. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 37 сайтів на сервері OIAC (IP 193.200.212.35). Це наступні сайти: reports.esco.od.ua, okv.esco.od.ua, siaz.odessa.gov.ua, ananiev-rada.odessa.gov.ua, tarutino-rada.odessa.gov.ua, tatarbunar-rada.odessa.gov.ua, shiryaivo-rada.odessa.gov.ua, sarata-rada.odessa.gov.ua, reni-rada.odessa.gov.ua, rozdilna-rada.odessa.gov.ua, mikolaivka-rada.odessa.gov.ua, lybashivka-rada.odessa.gov.ua, savran-rada.odessa.gov.ua, ovidiopol-rada.odessa.gov.ua, krasnookn-rada.odessa.gov.ua, orsf.odessa.gov.ua, iac.odessa.gov.ua, customs.odessa.gov.ua, invest.odessa.gov.ua, oblrada.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, kotovsk-rada.odessa.gov.ua, v-mihailivka-rada.odessa.gov.ua, komintern-rada.odessa.gov.ua, frunzivka-rada.odessa.gov.ua, kodima-rada.odessa.gov.ua, bolgrad-rada.odessa.gov.ua, bd-rada.odessa.gov.ua, arciz-rada.odessa.gov.ua, ivanivka-rada-t.odessa.gov.ua, bilyaivka-rada.odessa.gov.ua, berezivka-rada.odessa.gov.ua, izmail-rada.odessa.gov.ua, kiliya-rada.odessa.gov.ua, balta-rada-t.odessa.gov.ua, esco.od.ua. Всі вони - це українські державні сайти (34 в зоні gov.ua та 3 в зоні od.ua).

Всі зазначені сайти були взломані хакером HighTech.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 37 сайтів, то вони могли бути атаковані хакером HighTech через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.

08.05.2014

У листопаді, 12.11.2013, відбувся повторний масовий взлом сайтів на сервері OIAC. До 37 сайтів дефейснутих раніше додалися ще 14 сайтів.

Було взломано 14 сайтів (всього 51 сайтів) на сервері 193.200.212.35 компанії OIAC. Це наступні сайти: touregion.odessa.gov.ua, reklama.odessa.gov.ua, customs.odessa.gov.ua, balta.odessa.gov.ua, reports.esco.od.ua, okv.esco.od.ua, esco.od.ua, iac.odessa.gov.ua, oblrada.odessa.gov.ua, orsf.odessa.gov.ua, siaz.odessa.gov.ua, ved.odessa.gov.ua, oda.odessa.gov.ua, invest.odessa.gov.ua. Всі вони - це українські державні сайти (в зонах gov.ua та od.ua).

Всі зазначені сайти були взломані хакером zerobyte.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://moemisto.com.ua - інфекція була виявлена 29.04.2014. Зараз сайт входить до переліку підозрілих.
• http://donline.dn.ua - інфекція була виявлена 10.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://moemisto.kiev.ua - інфекція була виявлена 29.04.2014. Зараз сайт входить до переліку підозрілих.
• http://vicoil.com.ua - інфекція була виявлена 05.05.2014. Зараз сайт не входить до переліку підозрілих.
• http://meteoprog.ua - інфекція була виявлена 09.04.2014. Зараз сайт не входить до переліку підозрілих.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2011 - 2013 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2011, 2012 і 2013 роках.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

За весь 2012 рік в Уанеті було інфіковано 202 веб сайтів.

За весь 2013 рік в Уанеті було інфіковано 226 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси).

Динаміка зараження сайтів в Уанеті.

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

В 2012 році активність зменшилась на 13% порівняно з 2011 роком (спад в 1,15 рази). В порівнянні з 2008 роком активність зросла на 4950% (в 50,5 разів).

В 2013 році активність збільшилась на 12% порівняно з 2012 роком (зростання в 1,12 рази). В порівнянні з 2008 роком активність зросла на 5550% (в 56,5 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика. І хоча через зменшення моїх досліджень мало місце загальне зменшення динаміки в два передостанні роки, торік кількість інфікованих сайтів зросла.

Раніше я писав про березневі DDoS атаки в Україні, а зараз розповім про ситуацію в квітні.

В зв’язку з сепаратистськими і терористичними акціями на сході України, в цьому місяці хакерська активність продовжила бути значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими та іноземними хакерами були атаковані наступні сайти:

DDoS на DNS сервери FREEhost.ua - 01-02.04.2014
DDoS на gp.gov.ua - 04.04.2014 і 09.04.2014
Взломаний vrada.gov.ua - 07.04.2014
Взломаний gp.gov.ua - 09.04.2014
Взломаний pol.gp.gov.ua - 09.04.2014
DDoS на kmu.gov.ua - 10.04.2014 і 14.04.2014

Також на протязі квітня відбулися численні DDoS атаки на російські опозиційні сайти.

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 01-30.04.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 01-30.04.2014
DDoS на www-ki.rada.crimea.ua - 01-30.04.2014 (сайт працював з перервами)

Проукраїнськими хакерами були взломані наступні сайти:

sevispolkom.info - 02.04.2014 - хакери розмістили на сайті номер 565. А потім повністю відібрали сайт, через захоплення домену.

З 16.01.2012 по 09.04.2014 відбувся масовий взлом сайтів на сервері TheHost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер компанії TheHost. Дефейс відбулися після згаданого масового взлому сайтів на сервері Delta-X. Взлом складався з багатьох окремих дефейсів. 28 сайтів були дефейснуті в 2012 році, 415 сайтів в 2013 році і 8 сайтів в 2014 році.

Всього було взломано 451 сайтів на сервері української компанії TheHost (IP 91.223.180.100). Перелік сайтів можете подивитися на www.zone-h.org.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dazo.gov.ua (хакером Gabby) - 10.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vrada.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://riddle.org.ua (хакером Hmei7) - 02.03.2014, зараз сайт вже виправлений адмінами
• http://buller.net.ua (хакерами з 1923Turk Grup)
• http://www.skypark.com.ua (хакером mustireiS) - 07.03.2014, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zmr.gov.ua - інфікований державний сай - інфекція була виявлена 03.02.2014. Зараз сайт не входить до переліку підозрілих.
• http://infocom.lviv.ua - інфекція була виявлена 21.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://tazoxox.pp.ua - інфекція була виявлена 19.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://eizvestia.com - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.

З 24.03.2013 по 29.12.2013 та з 08.01.2014 по 17.04.2014 відбувся дев’ятий масовий взлом сайтів на сервері Delta-X, після восьмого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний новий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. 20 сайтів були дефейснуті в 2013 році та 56 сайтів в 2014 році.

Всього було взломано 77 сайтів на сервері української компанії Delta-X (IP 91.222.136.250). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yarmrda.gov.ua.

Дефейси по одному сайту булу проведені хакерами kwgdeface, SlimeDont, C37HUN, Your Nick, InFlaMeS, ChatLak, jhoker, kazmil Hacker, m05l3k, FAMUR, Cogniti0, kwgdeface, default, Moroccan Hassan, CeLLaTReiS, 5 сайтів хакером Hmei7, 16 сайтів хакером HighTech та 41 сайт хакером d3b~X.

Враховуючи велику кількість окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.scourt.gov.ua (хакером fr0g) - 04.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://svitanok.gov.ua (хакером d3b~X) - 11.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vesti.ua (хакерами з PATRIOTS) - 16.04.2014, зараз сайт вже виправлений адмінами
• http://viknari.com.ua (хакером redspy)
• http://troyanda.kr.ua (хакерами з Iran Security Team) - 15.04.2014, зараз сайт не працює (відключений провайдером через його взлом)