Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dfsk.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://autobaza.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://xpark.kiev.ua (хакером r3×1337)
• http://business-airlines.com.ua (хакером X45x_dz)
• http://synchroua.com (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами

В період з 09.01.2014 по 07.06.2014 відбувся четвертий масовий взлом сайтів на сервері Hetzner. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner, на якому хостилися українські та російські сайти. Взлом складався з декількох дефейсів сайтів. Раніше я писав про третій масовий взлом сайтів на сервері Hetzner.

Всього було взломано 38 сайтів на сервері компанії Hetzner (IP 176.9.91.186). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт pograirada.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно дефейсів boda@hacked і fallag_gassrini можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Також не виключена можливість взлому великої групи сайтів в одному акаунті. Коли через взлом одного сайта були атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://praktyka.com.ua - інфекція була виявлена 21.03.2014. Зараз сайт входить до переліку підозрілих.
• http://sychovamd.ucoz.ua - інфекція була виявлена 08.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://zaxale.pp.ua - інфекція була виявлена 29.12.2013. Зараз сайт входить до переліку підозрілих.
• http://лето.in.ua - інфекція була виявлена 31.01.2014. Зараз сайт не входить до переліку підозрілих.
• http://proreklamu.com - інфекція була виявлена 20.03.2014. Зараз сайт не входить до переліку підозрілих.

В грудні, 27.12.2013, відбувся масовий взлом сайтів на сервері Hostinger. Раніше я писав про інші масові дефейси.

Був взломаний сервер компанії Hostinger. Дефейс відбулися після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 20 сайтів (з них 10 українських державних сайтів) на сервері хостера Hostinger (IP 31.170.165.152). Це наступні українські державні сайти: ruda.snigurivka-rda.gov.ua, kuluta.snigurivka-rda.gov.ua, commite.snigurivka-rda.gov.ua, sumbidge.snigurivka-rda.gov.ua, rubbia.snigurivka-rda.gov.ua, albiru.snigurivka-rda.gov.ua, grdu.snigurivka-rda.gov.ua, loces.snigurivka-rda.gov.ua, runzie.snigurivka-rda.gov.ua, gigret.snigurivka-rda.gov.ua.

Всі 20 сайтів були взломані хакером HambaAllah.

Цілком імовірно, що дані сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fabrika.gov.ua (хакером d3b~X) - 13.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://izmail-rada.gov.ua (хакером the_warri0r) - 17.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.acop.com.ua (хакером XBaha Hacker) - сайт взломаний та інфікований
• http://loko-live.com.ua (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами
• http://sklokomotiv.com (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://olytazo.pp.ua - інфекція була виявлена 03.01.2014. Зараз сайт входить до переліку підозрілих.
• http://ch.kiev.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://alelodo.pp.ua - інфекція була виявлена 03.01.2014. Зараз сайт входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 17.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://jaluziukraina.com.ua - інфекція була виявлена 18.01.2014. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.center.gov.ua (хакером eRRoR 7rB) - 16.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.aids.km.ua (хакерами з Armageddon Hackers)
• http://guramishvili.org (хакером d3b~X) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://aurora.ua (хакером d3b~X) - 06.11.2013, зараз сайт вже виправлений адмінами
• http://china-avto.com.ua (хакером HighTech) - 06.01.2013, зараз сайт вже виправлений адмінами

Раніше я писав про лютневі DDoS атаки в Україні, а зараз розповім про ситуацію в березні.

В зв’язку з оголошенням Путіним війни Україні, в цьому місяці хакерська активність збільшилася. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Проросійськими хакерами були атаковані наступні сайти:

DDoS на hromadske.tv - 02-03.03.2014
DDoS на www.unian.net - 03.03.2014
DDoS на mvs.gov.ua - 04.03.2014
DDoS на www.pravda.com.ua - 04.03.2014
DDoS на www.1plus1.ua - 04.03.2014
DDoS на glavred.info - 04.03.2014
DDoS на www.telekritika.ua - 04.03.2014
DDoS на www.rnbo.gov.ua - 06.03.2014
DDoS на censor.net.ua - 13-14.03.2014 (сайт працював з перервами)
DDoS на www.ukrinform.ua - 16.03.2014
DDoS на www.segodnya.ua - 16.03.2014

В лютому сайти hromadske.tv і censor.net.ua вже зазнавали Distributed Denial of Service атак.

Також на протязі березня відбулися численні DDoS атаки на російські опозиційні сайти.

Проукраїнськими хакерами були атаковані наступні сайти:

DDoS на www.rada.crimea.ua - 08-31.03.2014 (сайт працював з перервами)
DDoS на www.crimea-portal.gov.ua - 08-31.03.2014
DDoS на referendum2014.org.ua - 11.03.2014 - після атаки сайт закрили і змінили домен на .ru
DDoS на www.mid.ru - 14.03.2014
DDoS на www-ki.rada.crimea.ua - 15-31.03.2014 (сайт працював з перервами)

Проукраїнськими хакерами були взломані наступні сайти:

rt.com - 02.03.2014 - сайт російського ЗМІ Russia Today
rg.ru - 07.03.2014 - сайт російського ЗМІ Российская газета
www.rada.crimea.ua - 09.03.2014 - я відмінив референдум в Криму
www.rada.crimea.ua - 13.03.2014 - я відправив у відставку прем’єра і спікера Криму

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vneshexpo.kiev.ua - інфекція була виявлена 05.03.2014. Зараз сайт входить до переліку підозрілих.
• http://vizyt.com - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://dodatoz.pp.ua - інфекція була виявлена 23.02.2014. Зараз сайт входить до переліку підозрілих.
• http://tsp.com.ua - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://tsp.zp.ua - інфекція була виявлена 14.12.2013. Зараз сайт не входить до переліку підозрілих.

В 2011 році відбувся масовий взлом сайтів на сервері HostPro. А пізніше відбувся повторний масовий взлом цього ж сервера. Одинадцятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів і декількох крупних дефейсів сайтів.

Якщо першого разу було взломано 34 сайти, то цього разу було взломано 169 сайтів на сервері української компанії HostPro (IP 91.223.223.115). Всього 203 сайта.

Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти crimea.dzk.gov.ua, sms.gov.ua (в 2011) і crimea.dzk.gov.ua (в 2014).

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.