Websecurity - Веб безпека

На початку року відбувся масовий взлом сайтів на сервері XServer. Він тривав від 11.01.2013 до 25.07.2013.

Був взломаний сервер української компанії XServer. Взлом складався з декількох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого десятого масового взлому сайтів на сервері HostPro.

Всього було взломано 67 сайтів на сервері хостера XServer (IP 91.226.213.223). Це наступні сайти: a-xa.com, beru.net.ua, bulgakov.pp.ua, sunlove.pp.ua, fermery.pp.ua, blesk.cn.ua, tni.net.ua, anlider.com.ua, hope.pp.ua, volleyball-cn.pp.ua, nogtigel.org.ua, kravtsov.pp.ua, buhuchet.in.ua, lesha.pp.ua, chso.com.ua, alta-tour.biz, niva.pp.ua, andrlakes.org.ua, ranchoclub.pp.ua, art.geliar.com, atributplus.com, avtolift.com.ua, kyokusinkan.org.ua, fl.cn.ua, lyubava.org.ua, lascala.cn.ua, manific.com, prodvizheniesajta.net.ua, maremi.com.ua, svet-tm.com, mebel4all.com, neruhomist.cn.ua, svetnadom.com.ua, studio-remont.ru, ookna.cn.ua, vseest.net.ua, rusi4i.org.ua, webmoney-cn.com, bmyvg.org.ua, irgt.org.ua, hdvstudio.com.ua, chggme.org.ua, hdvstudio.net.ua, chmyvg.org.ua, imyvg.org.ua, avtolife2012.pp.ua, komyvg.org.ua, nmyvg.org.ua, kreschatik.in.ua, smyvg.org.ua, workofdream.com, desna-buvr.gov.ua, ymadam.com.ua, wp.atributplus.com, wp.mebel4all.com, parnik.com.ua, udesign.net.ua, teplica.com.ua, krmyvg.org.ua, kievkarate.com.ua, avtolife25.pp.ua, cook-info.org.ua, cook-info.cn.ua, upuc.net.ua, www.audiodoctor.com.ua, koryukivka-rada.gov.ua, www.dm-mebel.com. Серед них українські державні сайти koryukivka-rada.gov.ua та desna-buvr.gov.ua.

З зазначених 67 сайтів 61 сайт був взломаний хакером hasnain haxor, 3 сайти хакером Hmei7, 1 сайт хакером ghost-dz, 1 сайт хакером s13doeL та 1 сайт хакером misafir.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу hasnain haxor можна сказати, що враховуючи дефейс 61 сайта за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vipnutrition.com.ua - інфекція була виявлена 11.07.2013. Зараз сайт входить до переліку підозрілих.
• http://screenshot.com.ua - інфекція була виявлена 13.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://rurik.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ukrdom.biz - інфекція була виявлена 25.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://skd.vn.ua - інфекція була виявлена 21.07.2013. Зараз сайт входить до переліку підозрілих.
• http://web.kharkov.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://irp.lg.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-agro.org.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-derevo.org.ua - інфекція була виявлена 23.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://buznec.com - інфекція була виявлена 29.06.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://podillyarehab.gov.ua (хакерами з islamic ghosts team) - 31.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.putivl-rda.gov.ua (хакером Dr.SHA6H) - 13.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ndippp.gov.ua (хакером Dr.SHA6H) - 25.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.yuna.ua (хакером RBG HomS)
• http://visnik-press.com.ua (хакером RBG HomS) - 21.08.2013, зараз сайт вже виправлений адмінами

В березні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 12.03.2013-26.05.2013. Дев’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з трьох невеликих дефейсів і одного крупного дефейса сайтів.

Всього було взломано 290 сайтів на сервері хостера HostPro (IP 80.91.189.17). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти rayrada.gov.ua та dity-zhitomir.gov.ua.

З зазначених 290 сайтів 287 сайтів були взломані хакерами з islamic ghosts team, 1 сайт хакерами з BD GREY HAT HACKERS, 1 сайт хакером Hmei7 та 1 сайт хакером s13doeL.

Якщо невеликі дефейси по одному сайту явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу islamic ghosts team можна сказати, що враховуючи дефейс 287 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://masterdrev.com.ua - інфекція була виявлена 17.07.2013. Зараз сайт входить до переліку підозрілих.
• http://kievboard.com - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://basic.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://mycounter.ua - інфекція була виявлена 15.08.2013. Зараз сайт не входить до переліку підозрілих.
• http://mycounter.com.ua - інфекція була виявлена 18.07.2013. Зараз сайт не входить до переліку підозрілих.

В січні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2011 - 2013 років: 12.08.2011 (1 сайт), від 05.04.2012 до 03.07.2012 (25 сайтів) та від 11.01.2013 до 08.06.2013 (144 сайти). Восьмий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів та трьох крупних дефейсів сайтів.

Всього було взломано 170 сайтів на сервері хостера HostPro (IP 193.169.188.27). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт mon-ark.gov.ua, який був взломаний двічі - в минулому і поточному році.

З зазначених 170 сайтів 79 сайтів були взломані хакером 3xp1r3, 6 сайтів хакером omarxarmy, 13 сайтів хакерами з Anonymous Albania, 5 сайтів хакером X_MAN 3R3R, 2 сайти хакером Hmei7, 30 сайтів хакером BADI, 4 сайти хакером misafir, 20 сайтів хакером Haranobu, 3 сайти хакером control_7rb та по 1 сайту хакерами SiR Abdou, Pak Cyber Eaglez, Mr Exploits, HeRoTurk, Pakhtun72, s13doeL, Ev!LsCr!pT_Dz, SnIpEr_39, iskorpitx.

При крупних дефейсах, як у випадку 3xp1r3, BADI і Haranobu, сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lr-pl.gov.ua (хакером Dr.SHA6H) - 21.06.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://perechyn-rada.gov.ua (хакером Dr.HaCkEr) - 24.06.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ovsyanukivka.org.ua (хакером Algerian To The Core) - 29.03.2013, зараз сайт вже виправлений адмінами
• http://lifefree.com.ua (хакером HACKROOT) - 02.08.2013, зараз сайт вже виправлений адмінами
• http://big-heart.com.ua (хакером HACKROOT) - 04.08.2013, зараз сайт вже виправлений адмінами

На початку року відбувся третій масовий взлом сайтів на сервері Hvosting. Він тривав у 2012 та у 2013 роках: 05.01.2012 та від 11.01.2013 до 18.05.2013.

Був взломаний сервер української компанії Hvosting. Взлом складався з багатьох невеликих дефейсів сайтів та одного крупного дефейсу. Раніше я писав про другий масовий взлом сайтів на сервері Hvosting.

Всього було взломано 28 сайтів на сервері хостера Hvosting (IP 91.200.40.62). Це наступні сайти: www.businessclimate.dn.ua, www.forexrevolution.biz, umoks.com.ua, www.ppvr.kiev.ua, olevsk-rada.gov.ua, dentasept.com.ua, donkidsclub.com.ua, fri.dn.ua, human-design.com.ua, imagedesign.dn.ua, jeremy-grand.com.ua, kudinov.com.ua, kumovya.ru, massage.donetsk.ua, masterlevsha.com.ua, mebeldonetsk.dn.ua, milliontut.ru, napravo.com.ua, organicpro.com.ua, oriflame-kym.ru, promteh.dn.ua, rime.com.ua, textile-plus.com.ua, tsk-comfort.com.ua, uglekachestvo.com.ua, www.master-levsha.dn.ua та dance-land.com (в 2012 і повторно в 2013). Серед них український державний сайт olevsk-rada.gov.ua.

З зазначених 28 сайтів 2 сайти були взломані хакером Hmei7, 20 сайтів хакером Jack Riderr та по 1 сайту хакерами s13doeL, erreur404, Cloudx, Sejeal, KaraCeri та kosovali16.

У випадку крупного дефейса Jack Riderr, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://crimea.gov.ua - інфікований державний сайт - інфекція була виявлена 03.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://s-format.com.ua - інфекція була виявлена 04.08.2013. Зараз сайт входить до переліку підозрілих.
• http://windelectric.ua - інфекція була виявлена 12.06.2013. Зараз сайт входить до переліку підозрілих.
• http://windelectric.kiev.ua - інфекція була виявлена 08.06.2013. Зараз сайт входить до переліку підозрілих.
• http://vestrum.com.ua - інфекція була виявлена 02.07.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://krp-grcz.gov.ua (хакером Sh4d0w_h4×0r) - 11.06.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.cult.voladm.gov.ua (хакером Solt6n) - 11.07.2013 - похаканий державний сайт, зараз сайт не працює
• http://www.guoks.gov.ua (хакером HighTech) - 12.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ubl.dp.ua (хакером L0S D3F4C3RS) - 24.07.2013, зараз сайт вже виправлений адмінами
• http://www.riddle.org.ua (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://www.cx-ukr.com.ua (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://inaudit.net (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://vipnumber.kiev.ua (хакером s13doeL) - 28.02.2013, зараз сайт вже виправлений адмінами
• http://rgf.kiev.ua (хакером Hmei7) - 05.01.2013, зараз сайт вже виправлений адмінами
• http://church-site.kiev.ua (хакером Hmei7) - 08.01.2013, зараз сайт вже виправлений адмінами