Архів для категорії 'Дослідження'

Похакані сайти №229

20:09 13.06.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://manadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.turadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://zapravka.lutsk.ua (хакером Hmei7) - 23.02.2013, зараз сайт вже виправлений адмінами
  • http://pano-stairs.od.ua (хакерами HUNTER і Ayyildiz Tim)
  • http://summitbiz.com.ua (хакером AnonGhost) - 05.06.2013, зараз сайт вже виправлений адмінами

Масовий взлом сайтів на сервері P-host

20:05 12.06.2013

На початку року відбувся масовий взлом сайтів на сервері P-host. Він тривав у 2009 та у 2013 роках: 31.12.2009 та від 13.01.2013 до 05.05.2013.

Був взломаний сервер української компанії P-host. Взлом складався з багатьох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого повторного масового взлому сайтів на сервері Besthosting.

Всього було взломано 20 сайтів на сервері хостера P-host (IP 77.120.114.162). Це наступні сайти: sunrise.od.ua, veselo-mig.od.ua, solaris.od.ua, sotbi.com.ua, villadiana.com.ua, neo-biotechnology.com, alfa-fasad.com.ua, vipmasi.com, oasis-zatoka.od.ua, bestsite.in.ua, getman.od.ua, www.galaxie.com.ua, vnl.com.ua, cargo-euro.com, belwitec.com.ua, www.dak.gov.ua, paritet-info.com, www.blagfond-ch.com.ua, www.transavio.com.ua, www.vaz2110.net. Серед них український державний сайт www.dak.gov.ua.

З зазначених 20 сайтів 11 сайтів були взломані хакером SultanHaikal, 1 сайт хакером Hmei7, 1 сайт хакером s13doeL, 5 сайтів хакером Sejeal, 1 сайт хакером misafir та 1 сайт хакерами з 1923Turk.

У випадку крупного дефейса SultanHaikal, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Інфіковані сайти №160

20:03 11.06.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://altamira.com.ua - інфекція була виявлена 06.06.2013. Зараз сайт входить до переліку підозрілих.
  • http://qww.com.ua - інфекція була виявлена 09.06.2013. Зараз сайт не входить до переліку підозрілих.
  • http://beezy.at.ua - інфекція була виявлена 09.06.2013. Зараз сайт входить до переліку підозрілих.
  • http://global-katalog.com - інфекція була виявлена 11.06.2013. Зараз сайт не входить до переліку підозрілих.

Повторний масовий взлом сервера Besthosting

23:56 04.06.2013

Торік відбувся масовий взлом сайтів на сервері Besthosting. Пізніше, в період 19.12.2012-07.02.2013, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох взломів, відбувся перед згаданим масовим взломом сайтів на сервері Hvosting.

Якщо першого разу було взломано 42 сайти, то цього разу було взломано 11 сайтів (з них 7 в 2012 році та 4 в 2013 році) на сервері української компанії Besthosting (IP 194.28.172.69). Це наступні сайти: romen-region.gov.ua, www.rdc.org.ua, www.auba.com.ua, www.lpbp.lviv.ua, hutir.net, vaspe.org, www.promix.lviv.ua, ugcc.zp.ua, www.zpk.zp.ua, www.znamenka.dn.ua, it-symphony.com. Серед них український державний сайт romen-region.gov.ua.

З зазначених 11 сайтів 1 сайт був взломаний хакерами з Kosova Hackers Crew, 1 сайт хакером Sejeal, 2 сайти хакером Hmei7 та 7 сайтів хакером EviLHaCk.

Якщо дефейси EviLHaCk могли бути проведені при взломі серверу хостінг провайдера (також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів). То інші дефейси явно були зроблені при взломах окремих сайтів.

Інфіковані сайти №159

19:10 03.06.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 25.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://sunnyukraine.com - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://terrace.org.ua - інфекція була виявлена 07.05.2013. Зараз сайт входить до переліку підозрілих.
  • http://kaylas.com.ua - інфекція була виявлена 22.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://vofarmacia.kiev.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
  • http://uahotels.info - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://watchfilmonline.ucoz.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
  • http://yuka.kiev.ua - інфекція була виявлена 14.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://hinfo.com.ua - інфекція була виявлена 15.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://mramor-kamin.com - інфекція була виявлена 07.03.2013. Зараз сайт не входить до переліку підозрілих.

Тестування сканерів бекдорів

23:50 25.05.2013

Пропоную ознайомитися з мою статтею про тестування різних сканерів бекдорів на веб сайтах, що я провів на цьому тижні.

В даному дослідженні перевірялися плагіни для WordPress, що вміють виявляти бекдори (а деякі плагіни й інший шкідливий код). Кожен з цих плагінів може застосовуватися (з різною ефективністю) для виявлення бекдорів та інших слідів взлому сайта. Тема бекдорів веб сайтів, в тому числі на таких движках як WordPress, зараз є дуже актуальною і всім користувачам Інтернет буде корисно дізнатися про існуючі системи.

Тестування сканерів бекдорів серед плагінів для WordPress

Мною були дослідженні наступні сканери:

1. WordPress Exploit Scanner (дві версії).
2. Belavir.
3. AntiVirus for WordPress.
4. WordPress File Monitor.

З результатами тестування можете ознайомитися в даній статті.

Похакані сайти №227

20:16 23.05.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://kakhovka-rada.gov.ua (хакером Hmei7) - 11.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://pereyaslav-rda.gov.ua (хакером Hmei7) - 12.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://fish-spa.rv.ua (хакерами з 3xp1r3 Cyber Army)
  • http://bigdruk.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://artdecojugendstil.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами

Повторний масовий взлом сервера Hvosting

20:06 22.05.2013

Два роки тому відбувся масовий взлом сайтів на сервері Hvosting. І в цьому році, в період 18.02.2013-01.05.2013, а також 22.08.2011, відбувся повторний масовий взлом цього ж сервера. Я періодично виявляю повторні взломи серверів і це черговий випадок.

Був взломаний сервер української компанії Hvosting. Взлом, що складався з декількох взломів, відбувся після згаданого масового взлому сайтів на сервері Delta-X.

Якщо першого разу було взломано 17 сайтів, то цього разу було взломано 17 сайтів (з них 1 в 2011 році та 16 в 2013 році) на сервері української компанії Hvosting (IP 91.200.40.39). Це наступні сайти: www.museum.ceramology.gov.ua, elit-dah.if.ua, krgrand.com, www.altrad-mostostal.com.ua, keramdach.com.ua, 7art.if.ua, rimo.if.ua, pozitiv.if.ua, metr.if.ua, metr-tyr.if.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua, poladm.gov.ua. Серед них українські державні сайти www.museum.ceramology.gov.ua, ceramology.gov.ua, ceramology-inst.gov.ua, opishne-museum.gov.ua, poshyvailo-potters.gov.ua, selyuchenko-potters.gov.ua та poladm.gov.ua (в 2011 та в 2013).

З зазначених 17 сайтів 1 сайт був взломаний хакером iskorpitx, 5 сайтів хакером Hmei7, 6 сайтів хакерами з 1923Turk, 2 сайти хакером Ziko’w та по 1 сайту хакерами Sejeal, HighTech та ghost-dz.

Враховуючи велику кількість окремих дефейсів по одному або кілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Інфіковані сайти №158

20:06 21.05.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://vip-povar.kiev.ua - інфекція була виявлена 21.05.2013. Зараз сайт входить до переліку підозрілих.
  • http://vetdrug.com.ua - інфекція була виявлена 10.05.2013. Зараз сайт не входить до переліку підозрілих.
  • http://crown.dn.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://faraon-hotel.com.ua - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://sinevir.ks.ua - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №226

20:37 16.05.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://dei.gov.ua (хакером Dr.SHA6H) - 30.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://zvenrada.gov.ua (хакером ghost-dz) - 26.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://baklykoff.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://agrosmak.net (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
  • http://www.trideneli.ua (хакером Hacker603) - причому спочатку сайт 30.04.2013 був взломаний Hacker603, 02.05.2013 він був взломаний Shr3if, а 08.05.2013 він був взломаний 3alee GhOst WarRior. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті