Архів для категорії 'Дослідження'

Інфіковані сайти №174

20:07 22.10.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://newsru.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт входить до переліку підозрілих.
  • http://newsru.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://emoney-expert.com - інфекція була виявлена 16.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://weblog.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://ukr.net - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.

Інфіковані хостери в 1 півріччі 2013 року

22:48 12.10.2013

В підсумках хакерської активності в Уанеті в 1 півріччі 2013 я зазначав, що всього за цей період я виявив 130 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2013 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Avguro Technologies, Besthosting, Bizland, Choopa, Cityhost, Colocall, Compubyte Limited, Confluence Networks, DCTeL, Datagroup, Delta-X, Digiq Net, Dream Line, eServer.ru, Freehost, Goodnet, Hetzner, HostBizUa, HostLife, HostPro, Hosting.ua, Hvosting, Info-center, Infocom, Intelex, LNUA, Majorhost, MiroHost, Modus, Navigator Online, Net Access Corporation, Relink, Rusonyx, Server.ua, ServerSnab, Service Online, Shantyr, TeNeT, The First, The Planet, TimeWeb Co., TutHost, UARNet, Ukrainian Internet Names Center, Unlim, Uteam, VPS.ua, Velton Telecom, Vizor, Volia, Wnet, Xirra, XServer, iPROsrv, iWeb, Мета, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

  • Compubyte Limited - 11 сайтів
  • HostPro - 10 сайтів
  • Freehost - 9 сайтів
  • Delta-X - 8 сайтів
  • Hetzner - 5 сайтів
  • MiroHost - 5 сайтів
  • Volia - 4 сайтів
  • Besthosting - 3 сайтів
  • Hvosting - 3 сайтів
  • TeNeT - 3 сайтів

Всього було виявлено хостінги 122 сайта з 130. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Похакані сайти №242

20:01 10.10.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.dec.gov.ua (хакером HighTech) - 04.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://book.rekord.gov.ua (хакером SultanHaikal) - 06.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://kievlyanenews.com.ua (хакером dr.m1st3r)
  • http://веселка.com.ua (хакером dr.m1st3r)
  • http://blog.arhstudio-f.com (хакером dr.m1st3r)

Інфіковані сайти №173

20:07 08.10.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://kharkivoda.gov.ua - інфікований державний сайт - інфекція була виявлена 14.08.2013. Зараз сайт не входить до переліку підозрілих.
  • http://nokino.com.ua - інфекція була виявлена 15.09.2013. Зараз сайт не входить до переліку підозрілих.
  • http://vanilin.com.ua - інфекція була виявлена 08.10.2013. Зараз сайт входить до переліку підозрілих.
  • http://i.ua - інфекція була виявлена 08.10.2013. Зараз сайт не входить до переліку підозрілих.
  • http://a-counter.com - інфекція була виявлена 09.10.2013. Зараз сайт не входить до переліку підозрілих.

Веб додатки на інфікованих сайтах в 1 півріччі 2013 року

20:14 28.09.2013

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2013, я згадував, що в першому півріччі було інфіковано 130 сайтів (з них 5 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в першому півріччі 2013 року, і на 73 сайтах вдалося виявити движки. Частина з 130 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 28
WordPress - 9
DataLife Engine - 7
Drupal - 4
CNCat - 2
eM&IS-manager - 2
Elite-Board - 2
Gloowi Engine - 2
I-Soft Bizness - 2
ocStore - 2
UGCS CMS - 2
ArtDesign CMS - 1
Artefact St. CMS - 1
Bitrix Site Manager - 1
CMS - 1
CMS Danneo - 1
CMS IT-Project - 1
PHP-Fusion - 1
SmallNuke - 1
vBulletin - 1
Vivvo CMS - 1
WebAsyst Shop-Script - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Похакані сайти №241

23:54 26.09.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.nsj.gov.ua (хакерами з @Df Brazil Hack Team) - 11.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.tsdazu.gov.ua (хакером Error7rB) - 13.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ekonomics.com.ua (хакером dr.m1st3r)
  • http://ecopsycholog.com (хакерами Arddzz і A’Rui)
  • http://isol-pack.com.ua (хакером Hmei7) - 16.09.2013, зараз сайт вже виправлений адмінами

П’ятий масовий взлом сайтів на сервері Besthosting

20:07 25.09.2013

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 22.10.2012-12.08.2013. Четвертий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом складався з багатьох невеликих дефейсів і трьох крупних дефейсів сайтів.

Всього було взломано 89 сайтів на сервері хостера Besthosting (IP 194.28.172.166). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти vinjust.gov.ua (в 2012 році) і www.miroraj.gov.ua (в 2013 році).

Якщо невеликі дефейси по одному або кілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно великих дефейсів NeT.Defacer, Donnazmi та gbs можна сказати, що враховуючи дефейс великої кількості сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Інфіковані сайти №172

20:08 24.09.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://crimea-pfu.gov.ua - інфікований державний сайт - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.
  • http://brokservis.zp.ua - інфекція була виявлена 12.07.2013. Зараз сайт не входить до переліку підозрілих.
  • http://advocard.odessa.ua - інфекція була виявлена 27.06.2013. Зараз сайт входить до переліку підозрілих.
  • http://euroavto.in - інфекція була виявлена 07.09.2013. Зараз сайт не входить до переліку підозрілих.
  • http://sommer.kiev.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.

Безпека e-commerce сайтів в Уанеті №17

20:05 21.09.2013

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах електронних платіжних систем, банків та аукціонів (України та США):

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини і банки в Уанеті:

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

Похакані сайти №240

20:09 20.09.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://clinic-1.gov.ua (хакером klod fajraoui) - 03.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://sumy-city.upszn-sumy.gov.ua (хакером Hmei7) - 06.09.2013 - похаканий державний сайт, зараз сайт не працює
  • http://denaks.com (хакером Sejeal) - 10.08.2013, зараз сайт вже виправлений адмінами
  • http://www.union-forum.org (хакером BLACKWOLF) - 19.08.2013, зараз сайт вже виправлений адмінами
  • http://globalenglish.dn.ua (хакером RBG HomS) - 23.08.2013, зараз сайт вже виправлений адмінами