Архів для категорії 'Дослідження'

Інфіковані сайти №154

20:07 16.04.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://turizm.zp.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
  • http://albogroup.com - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://albogroup.com.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://medbiz.com.ua - інфекція була виявлена 13.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://ukraine-today.net - інфекція була виявлена 16.04.2013. Зараз сайт не входить до переліку підозрілих.

Розвиток веб безпеки в 2013 році

22:35 12.04.2013

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2012 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

  1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків). Зокрема я оприлюднив уразливості у флешках, що розміщувалися на мільйонах сайтів.
  2. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 1,6 рази.
  3. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
  4. Збільшилася кількість DDoS-атак в Уанеті, в тому числі на державні сайти - зростання у 1,43 рази.
  5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2011 я виявив 233 інфікованих сайтів, а в 2012 вже 202 сайти (зменшення динаміки у 1,15 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
  6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter та були взломані LinkedIn та інші відомі сайти.
  7. В Уанеті хакерська активність дещо впала порівняно з 2011 роком, зокрема в Уанеті спад на 19,5% (але то я менше досліджував, а насправді вона зросла).

Як видно всі мої попередні прогнози переважно збулися :-) .

А тепер мій прогноз розвитку галузі веб безпеки в 2013 році.

  1. Уразливостей у веб додатках буде знайдено набагато більше, ніж у інших додатках.
  2. Збільшиться кількість атак на державні сайти України.
  3. Зростання кількості заражених вірусами веб сторінок буде більш активним.
  4. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
  5. Втрати від кібершахрайства в Україні збільшаться.
  6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
  7. Продовжиться подальше зростання хакерської активності.

Похакані сайти №222

22:45 11.04.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.disgu.gov.ua (хакером Hmei7) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://che.gov.ua (хакером ZiqoR) - 03.02.2013 - похаканий державний сайт, зараз сайт взломаний Dr.SHA6H. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.transavio.com.ua (хакером misafir) - 13.01.2013, зараз сайт вже виправлений адмінами
  • http://www.blagfond-ch.com.ua (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
  • http://cafeneptun.com (хакерами з 3xp1r3 Cyber Army) - 09.04.2013, зараз сайт вже виправлений адмінами

Підсумки хакерської активності в Уанеті в 2012

22:41 10.04.2013

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2012 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2012 по 30.06.2012, а в звіті Хакерська активність в Уанеті в 2 півріччі 2012 - дані за період з 01.07.2012 по 31.12.2012.

За весь 2012 рік в Уанеті було проведено 1142 атаки на веб сайти - 668 за перше півріччя і 474 за друге. Для порівняння, за весь 2011 рік було зафіксовано всього 1419 атак на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2012 активність менша на 14,6% в порівнянні з аналогічним періодом 2011 року, а за друге півріччя 2012 - на 25,6% менше за аналогічний період 2011 року. А в цілому в 2012 році активність впала на 19,5% порівняно з 2011 роком - спад в 1,24 рази.

В 2012 році загалом було атаковано 1142 веб ресурси (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 203 сайти, які вірогідно були похакані в 2012 році. При цьому сайт nbuv.gov.ua був інфікований в першому і в другому півріччі, тому за рік інфіковано 202 окремих сайти.

Головні тенденції 2012 року в діяльності хакерів в Уанеті:

  • Хакерська активність дещо впала - на 19,5% порівняно з 2011 роком (зменшення динаміки у 1,24 рази).
  • Багато сайтів в Уанеті заражуються вірусами: в 2011 я виявив 233 інфікованих сайтів, в 2012 - вже 202 сайтів (зменшення динаміки у 1,15 рази).
  • Кількість DDoS атак на сайти більша ніж в 2011 році - 40 випадків DDoS атак за рік (зростання у 1,43 рази). Це 3,5% від всіх атак за 2012 рік.
  • Атаковано 171 державних сайтів та інфіковано ще 16 gov.ua-сайтів.
  • Зростання взломів державних сайтів в 1,6 рази та збільшення інфікування gov.ua-сайтів в 1,78 рази порівняно з 2011 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2013 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Інфіковані сайти №153

22:43 09.04.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://musicband.net.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
  • http://tetra.zp.ua - інфекція була виявлена 09.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://key.in.ua - інфекція була виявлена 22.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://akcion.net - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
  • http://dctel.net.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

Інфіковані хостери в 2 півріччі 2012 року

17:22 06.04.2013

В підсумках хакерської активності в Уанеті в 2 півріччі 2012 я зазначав, що всього за цей період я виявив 105 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в другому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і в першому півріччі. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В другому півріччі минулого року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB, Adamant, Amazon Web Services, Besthosting, BitterNet, CloudFlare, Colocall, Compubyte Limited, DCKIEVUA, Delta-X, Freehost, Goodnet, Hetzner, Host VDS, HostLife, HostPro, Hosting.UA, Hvosting, Incapsula, Infocom, Inter-Telecom, Lan-Telecom, LeaseWeb, LuckyNet, Lux, MiroHost, ServerBeach, Smarty Media, SpaceWeb, SteepHost, TEST, TOP NET, Telegroup-Ukraine, Telepark, UA Servers, UARNet, Uadomen, Ukrainian Hosting, Ukrhosting, Unlim, Uplink, Valor, Vizor, Volia, Wnet, iomart Hosting, Візор, Пряма Мова.

Найбільші інфіковані хостери (TOP-10):

  1. Freehost - 14 сайтів
  2. Delta-X - 8 сайтів
  3. Hetzner - 8 сайтів
  4. Volia - 8 сайтів
  5. Infocom - 5 сайтів
  6. Wnet - 5 сайтів
  7. Besthosting - 4 сайтів
  8. Colocall - 3 сайтів
  9. Compubyte Limited - 3 сайтів
  10. MiroHost - 3 сайтів

Були виявлені хостінги всіх 105 сайтів. Хоча деякі з цих сайтів в даний момент вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах), але за допомогою власної системи моніторингу я визначив хостерів під час виявлення цих інфікованих сайтів.

Похакані сайти №221

20:11 05.04.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://sumygfu.gov.ua (хакером OverDz) - 25.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.dubno-adm.gov.ua (хакером misafir) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ecopsycholog.com (хакерами з aGa Hackers) - причому спочатку сайт 08.02.2013 був взломаний aGa Hackers, а починаючи з 04.03.2013 він вже взломаний A’Rui. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://panaboard.kiev.ua (хакером Pokk3rs) - 28.03.2013, зараз сайт вже виправлений адмінами
  • http://outplace.kiev.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами

Веб додатки на інфікованих сайтах в 2012 році

19:32 04.04.2013

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2012 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 97 сайтів, а в другому півріччі було інфіковано 105 сайтів. Всього 202 сайти за 2012 рік. І з них на 87 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 41
WordPress - 17
DataLife Engine - 9
Drupal - 3
WebAsyst Shop-Script - 3
InstantCMS - 2
osCommerce - 2
Composite C1 CMS - 1
Danneo CMS - 1
eflyCMS - 1
ExpressionEngine - 1
Megapolis.Portal Manager - 1
phpBB - 1
PHP-Nuke - 1
phpWebSite - 1
Serendipity - 1
TYPO3 CMS - 1

Зазначу, що трійка лідерів серед веб додатків у першому й другому півріччі була незмінною. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

Веб додатки на інфікованих сайтах в 2 півріччі 2012 року

22:42 03.04.2013

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2012, я згадував, що в другому півріччі було інфіковано 105 сайтів (з них 7 державних сайтів).

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2012 року, і на 46 сайтах вдалося виявити движки. Частина з 105 сайтів вже не працювала (у деяких домен не працював, у деяких хостер закрив сайт), декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 20
WordPress - 10
DataLife Engine - 5
Drupal - 2
InstantCMS - 2
Composite C1 CMS - 1
eflyCMS - 1
ExpressionEngine - 1
phpBB - 1
PHP-Nuke - 1
TYPO3 CMS - 1
WebAsyst Shop-Script - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Інфіковані сайти №152

22:48 02.04.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://sarepta.com.ua - інфекція була виявлена 13.03.2013. Зараз сайт входить до переліку підозрілих.
  • http://catalog.biz.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
  • http://ivanenko.zp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://bereginya.zp.ua - інфекція була виявлена 09.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://swiftprint.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.