Websecurity - Веб безпека

Торік відбувся масовий взлом сайтів на сервері Besthosting. Пізніше, в період 19.12.2012-07.02.2013, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся перед згаданим масовим взломом сайтів на сервері Hvosting.

Якщо першого разу було взломано 42 сайти, то цього разу було взломано 11 сайтів (з них 7 в 2012 році та 4 в 2013 році) на сервері української компанії Besthosting (IP 194.28.172.69). Це наступні сайти: romen-region.gov.ua, www.rdc.org.ua, www.auba.com.ua, www.lpbp.lviv.ua, hutir.net, vaspe.org, www.promix.lviv.ua, ugcc.zp.ua, www.zpk.zp.ua, www.znamenka.dn.ua, it-symphony.com. Серед них український державний сайт romen-region.gov.ua.

З зазначених 11 сайтів 1 сайт був взломаний хакерами з Kosova Hackers Crew, 1 сайт хакером Sejeal, 2 сайти хакером Hmei7 та 7 сайтів хакером EviLHaCk.

Якщо дефейси EviLHaCk могли бути проведені при взломі серверу хостінг провайдера (також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів). То інші дефейси явно були зроблені при взломах окремих сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 25.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://sunnyukraine.com - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrace.org.ua - інфекція була виявлена 07.05.2013. Зараз сайт входить до переліку підозрілих.
• http://kaylas.com.ua - інфекція була виявлена 22.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://vofarmacia.kiev.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://watchfilmonline.ucoz.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://yuka.kiev.ua - інфекція була виявлена 14.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://hinfo.com.ua - інфекція була виявлена 15.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://mramor-kamin.com - інфекція була виявлена 07.03.2013. Зараз сайт не входить до переліку підозрілих.

Пропоную ознайомитися з мою статтею про тестування різних сканерів бекдорів на веб сайтах, що я провів на цьому тижні.

В даному дослідженні перевірялися плагіни для WordPress, що вміють виявляти бекдори (а деякі плагіни й інший шкідливий код). Кожен з цих плагінів може застосовуватися (з різною ефективністю) для виявлення бекдорів та інших слідів взлому сайта. Тема бекдорів веб сайтів, в тому числі на таких движках як WordPress, зараз є дуже актуальною і всім користувачам Інтернет буде корисно дізнатися про існуючі системи.

Тестування сканерів бекдорів серед плагінів для WordPress

Мною були дослідженні наступні сканери:

1. WordPress Exploit Scanner (дві версії).
2. Belavir.
3. AntiVirus for WordPress.
4. WordPress File Monitor.

З результатами тестування можете ознайомитися в даній статті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kakhovka-rada.gov.ua (хакером Hmei7) - 11.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакером Hmei7) - 12.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fish-spa.rv.ua (хакерами з 3xp1r3 Cyber Army)
• http://bigdruk.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://artdecojugendstil.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vip-povar.kiev.ua - інфекція була виявлена 21.05.2013. Зараз сайт входить до переліку підозрілих.
• http://vetdrug.com.ua - інфекція була виявлена 10.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://crown.dn.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://faraon-hotel.com.ua - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://sinevir.ks.ua - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dei.gov.ua (хакером Dr.SHA6H) - 30.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zvenrada.gov.ua (хакером ghost-dz) - 26.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://baklykoff.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.net (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://www.trideneli.ua (хакером Hacker603) - причому спочатку сайт 30.04.2013 був взломаний Hacker603, 02.05.2013 він був взломаний Shr3if, а 08.05.2013 він був взломаний 3alee GhOst WarRior. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

В попередні роки я неодноразово писав про інфекцію на відомих сайтах. І зараз розповім про інфікований dropbox.com. Якщо скорочувачі адрес, такі як TinyURL, та соціальні мережі, такі як ВКонтакте, вже давно використовуються для поширення шкідливого коду, то файлообмінники також можуть використовуватися для цього. І нещодавно я виявив подібну ситуацію на сервісі обміну файлами та синхронізації файлів Dropbox.

Наприклад, на tinyurl.com зараз розміщено багато шкідливого ПЗ, так само як це було в 2010 році. Останнього разу підозрілий вміст на цьому сайті був виявлений сьогодні. Шкідливий код може розміщуватися як на сторінках самого сервісу (про відповідні уразливості я писав раніше), так і на тих сайтах, куди він редиректить (бо саме це є призначанням сервісу і цей функціонал використовується для атак на користувачів).

У випадку Dropbox атака відбувається через розміщення шкідливих файлів на серверах сервісу. За даними Google, підозрілий вміст на dropbox.com був виявлений сьогодні. Зафіксовано таке зловмисне програмне забезпечення: 3217 троянів, 2009 вірусів та 1826 експлоітів. За попередні 90 днів на цьому сайті розміщувалося зловмисне програмне забезпечення. Ним заражено 42 домени та він був проміжною ланкою в зараженні 13 інших сайтів.

Як я виявив, шкідливе ПЗ розміщене на доменах dl.dropbox.com і dl.dropboxusercontent.com (маловірогідно, що malware є на основному домені dropbox.com, бо доступ до файлів розміщених на Dropbox відбувається саме на цих доменах). Це статистика для першого домену, а для dl.dropboxusercontent.com маємо наступну статистику. Зафіксовано таке зловмисне програмне забезпечення: 974 троянів, 790 експлоітів та 370 вірусів. За попередні 90 днів ним заражено 424 домени та він був проміжною ланкою в зараженні 11 інших сайтів.

Так що окрім дірок Dropbox, що торік призвели до взлому сервісу, він ще використовується для поширення шкідливого ПЗ. Тому власникам сервісу є куди покращувати його безпеку.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://labsoft.at.ua - інфекція була виявлена 24.04.2013. Зараз сайт входить до переліку підозрілих.
• http://reafarm.com.ua - інфекція була виявлена 11.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 13.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://clubfoto.at.ua - інфекція була виявлена 03.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ykrbiz.com - інфекція була виявлена 12.06.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://utmlviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://milicialviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sbuda-rada.gov.ua (хакером ulow) - 19.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dpsua.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://vnl.com.ua (хакером s13doeL) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://www.galaxie.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://aclemberg.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://aerobud-zahid.com.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.lviv.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://pokraska-mdf.kiev.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами