Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kakhovka-rada.gov.ua (хакером Hmei7) - 11.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакером Hmei7) - 12.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fish-spa.rv.ua (хакерами з 3xp1r3 Cyber Army)
• http://bigdruk.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://artdecojugendstil.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vip-povar.kiev.ua - інфекція була виявлена 21.05.2013. Зараз сайт входить до переліку підозрілих.
• http://vetdrug.com.ua - інфекція була виявлена 10.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://crown.dn.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://faraon-hotel.com.ua - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://sinevir.ks.ua - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dei.gov.ua (хакером Dr.SHA6H) - 30.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zvenrada.gov.ua (хакером ghost-dz) - 26.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://baklykoff.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.net (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://www.trideneli.ua (хакером Hacker603) - причому спочатку сайт 30.04.2013 був взломаний Hacker603, 02.05.2013 він був взломаний Shr3if, а 08.05.2013 він був взломаний 3alee GhOst WarRior. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

В попередні роки я неодноразово писав про інфекцію на відомих сайтах. І зараз розповім про інфікований dropbox.com. Якщо скорочувачі адрес, такі як TinyURL, та соціальні мережі, такі як ВКонтакте, вже давно використовуються для поширення шкідливого коду, то файлообмінники також можуть використовуватися для цього. І нещодавно я виявив подібну ситуацію на сервісі обміну файлами та синхронізації файлів Dropbox.

Наприклад, на tinyurl.com зараз розміщено багато шкідливого ПЗ, так само як це було в 2010 році. Останнього разу підозрілий вміст на цьому сайті був виявлений сьогодні. Шкідливий код може розміщуватися як на сторінках самого сервісу (про відповідні уразливості я писав раніше), так і на тих сайтах, куди він редиректить (бо саме це є призначанням сервісу і цей функціонал використовується для атак на користувачів).

У випадку Dropbox атака відбувається через розміщення шкідливих файлів на серверах сервісу. За даними Google, підозрілий вміст на dropbox.com був виявлений сьогодні. Зафіксовано таке зловмисне програмне забезпечення: 3217 троянів, 2009 вірусів та 1826 експлоітів. За попередні 90 днів на цьому сайті розміщувалося зловмисне програмне забезпечення. Ним заражено 42 домени та він був проміжною ланкою в зараженні 13 інших сайтів.

Як я виявив, шкідливе ПЗ розміщене на доменах dl.dropbox.com і dl.dropboxusercontent.com (маловірогідно, що malware є на основному домені dropbox.com, бо доступ до файлів розміщених на Dropbox відбувається саме на цих доменах). Це статистика для першого домену, а для dl.dropboxusercontent.com маємо наступну статистику. Зафіксовано таке зловмисне програмне забезпечення: 974 троянів, 790 експлоітів та 370 вірусів. За попередні 90 днів ним заражено 424 домени та він був проміжною ланкою в зараженні 11 інших сайтів.

Так що окрім дірок Dropbox, що торік призвели до взлому сервісу, він ще використовується для поширення шкідливого ПЗ. Тому власникам сервісу є куди покращувати його безпеку.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://labsoft.at.ua - інфекція була виявлена 24.04.2013. Зараз сайт входить до переліку підозрілих.
• http://reafarm.com.ua - інфекція була виявлена 11.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 13.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://clubfoto.at.ua - інфекція була виявлена 03.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ykrbiz.com - інфекція була виявлена 12.06.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://utmlviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://milicialviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sbuda-rada.gov.ua (хакером ulow) - 19.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dpsua.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://vnl.com.ua (хакером s13doeL) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://www.galaxie.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://aclemberg.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://aerobud-zahid.com.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.lviv.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://pokraska-mdf.kiev.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gdz.org.ua - інфекція була виявлена 25.04.2013. Зараз сайт входить до переліку підозрілих.
• http://osvitakp.com.ua - інфекція була виявлена 10.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://chutovo.at.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://kam-pod.in.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://dukat.km.ua - інфекція була виявлена 22.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://1school.vn.ua - інфекція була виявлена 04.03.2013. Зараз сайт входить до переліку підозрілих.
• http://tenet.km.ua - інфекція була виявлена 21.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://direktor.at.ua - інфекція була виявлена 04.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://dir.com.ua - інфекція була виявлена 02.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://electron-service.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

З 06.04.2012 по 04.02.2013 відбувся шостий масовий взлом сайтів на сервері Delta-X, після п’ятого взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний шостий сервер компанії Delta-X. Взлом складався з багатьох окремих дефейсів. Попередні п’ять масових дефейсів на серверах даної компанії відбувалися в 2010 році.

Всього було взломано 19 сайтів на сервері української компанії Delta-X (IP 91.206.201.15). Це наступні сайти: kroshkadekor.com, www.drivers-nout.com, promland.biz, www.clothescloser.com.ua, obuhivzem.gov.ua, 700-800.com, www.komfort.zt.ua, dom2007.com.ua, vadmart.net, viver.net.ua, www.kotovsk-teplokomunenergo.com.ua, www.sitlie.com, pulsarmodel.net, www.uslugikiev.com, ustars.org.ua, artcollege.dn.ua, auto-forum.ikoleso.com.ua, test.music4us.com.ua, divar.com.ua. Серед них український державний сайт obuhivzem.gov.ua.

Дефейси по одному сайту булу проведені хакерами ZoRRoKiN, Newbie3viLc063s, ArTiN, AkSuVaRi, ha4k3r, Aerul Da White-Hkc, Hmei7, david becker, Momik, DaiLexX і netcat та по два сайти хакерами Sejeal, misafir, 1923Turk і TURK KURSUNU.

Враховуючи велику кількість окремих дефейсів по одному або два сайти, всі вони явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://koryukivka-rada.gov.ua (хакером Hmei7) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rekord.gov.ua (хакером Hmei7) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belwitec.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://cargo-euro.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://dju.org.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами