Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Виходячи з моїх звітів про веб додатки на інфікованих сайтах в 1 півріччі та веб додатки на інфікованих сайтах в 2 півріччі, я підведу підсумки. Та наведу загальну статистику про веб додатки на інфікованих сайтах в 2020 році.

Як я зазначав в своїх звітах про хакерську активність в Уанеті, в першому півріччі було інфіковано 80 сайтів, а в другому півріччі було інфіковано 70 сайтів. Всього 150 сайтів за 2019 рік. І з них на 80 сайтах вдалося виявити движки.

На перевірених в минулому році сайтах використовуються наступні движки:

Joomla - 22
uCoz - 18
WordPress - 18
Drupal - 7
DataLife Engine - 6
Magento - 3
OpenCart - 2
Bitrix - 1
VaM Shop - 1

Зазначу, що три лідери серед веб додатків у першому й другому півріччі були незмінними. Й відповідно в підсумкових результатах за весь рік.

Тобто майже всі інфіковані сайти, з числа працюючих, використовували опенсорс веб додатки. Більшість з них публічні відкриті CMS, але деякі й комерційні відкриті веб програми.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2020 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2020 по 30.06.2020, а в звіті Хакерська активність в Уанеті в 2 півріччі 2020 - дані за період з 01.07.2020 по 31.12.2020.

За весь 2020 рік в Уанеті було проведено 1223 атак на веб сайти - 773 за перше півріччя і 450 за друге. Для порівняння, за весь 2019 рік було зафіксовано всього 1165 атак на веб сайти. І це тільки виявлені мною випадки (і я ще не всі данні обробив), реальна кількість інцидентів може бути значно вищою.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2020 активність більша на 5,5% в порівнянні з аналогічним періодом 2019 року, а за друге півріччя 2020 - на 4,5% більша за аналогічний період 2019 року. А в цілому в 2020 році активність зросла на 5% порівняно з 2019 роком - зростання в 1,05 рази.

В 2020 році загалом було атаковано 1223 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. Але ще не всі дані обробив. А також були інфіковані 150 сайтів, які вірогідно були похакані в 2020 році.

Головні тенденції 2020 року в діяльності хакерів в Уанеті:

• Хакерська активність зросла - на 5% порівняно з 2019 роком (збільшення динаміки у 1,05 рази).
• Багато сайтів в Уанеті заражуються вірусами: в 2019 я виявив 140 інфікованих сайтів, в 2020 - вже 150 сайтів (збільшення динаміки у 1,07 рази).
• Кількість DDoS атак на сайти така ж як в 2019 році - 1 випадок DDoS атак за рік. Це 0,09% від всіх атак за 2020 рік.
• Атаковано 110 державних сайтів та інфіковано ще 2 gov.ua-сайти.
• Збільшення взломів державних сайтів в 1,1 рази та зменшення інфікування gov.ua-сайтів в 2 рази порівняно з 2019 роком.

Велика кількість заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про чималий відсоток кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році була високою і вона продовжить такою бути. І в 2021 році ця тенденція збережеться.

Очікуйте на нові звіти про хакерську активність в Уанеті.

В своєму звіті про хакерську активність в Уанеті в 2 півріччі 2020, я згадував, що в першому півріччі було інфіковано 70 сайтів.

Сьогодні я провів дослідження сайтів, що були інфіковані в другому півріччі 2020 року, і на 40 сайтах вдалося виявити движки. Частина з 70 сайтів вже не працювала, частина використовує html (при цьому деякі з них ховають php-додатки за розширенням html), а ще частина використовували власні php-скрипти.

На перевірених сайтах використовуються наступні движки:

Joomla - 15
WordPress - 10
uCoz - 6
DataLife Engine - 3
Magento - 3
Drupal - 2
OpenCart - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на сьогодні) опенсорс веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zbirnyk-nadu.academy.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vnv.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://plomba.org.ua (хакером MiSh) - 20.07.2020 - зараз сайт вже виправлений адмінами
• http://bk-fis.com.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами
• http://filmingcore.pp.ua (хакером PikunPe0ple) - 16.03.2021 - зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2020 року.

За другу половину поточного року хакери в Уанеті ведуть себе достатньо активно, як і в аналогічному періоді 2019 року. 400 атак на веб сайти проти 400 - це аналогічна активність. Але атакованих сайтів явно значно більше і хакерська активність постійно зростає. Що видно з великої кількості інфікованих сайтів (які я не відношу до взломаних, бо напевно невідомо, що їх взломали, але це дуже вірогідно). Дані про злами сайтів наведу після завершення аналізу масових дефейсів.

Також були інфіковані 70 сайтів, які вірогідно були похакані в цьому році. Що ідентично до 70 інфікованих сайтів за аналогічний період минулого року.

Інфіковані сайти у другій половині 2020 року: footmir.com, cs-hack.fun, avtoshoolvsa.zt.ua, delfa-test.mk.ua, sodeistvie-pmr.com, ramprulad.com.ua, windows-soft.at.ua, kupi-vip.com.ua, flatout.at.ua, 221b.com.ua, autopartsnetwork.com.ua, voprosnik.top, gooood.zzz.com.ua, nord.adr.com.ua, orion-sparta.com, medsvit.com.ua, wow-ok.at.ua, chiptuner.ucoz.ua, thelegendarypike.zzz.com.ua, trulolo.zzz.com.ua, thekorol.zzz.com.ua, net.dn.ua, filin.at.ua, zero.kl.com.ua, road2pro.at.ua, activation.zzz.com.ua, transform.zzz.com.ua, plaza777.co.ua, s21.cshost.com.ua, fps.zzz.com.ua, china-tefon.at.ua, sirogasoft.zzz.com.ua, letsz0ck3r.zzz.com.ua, hooligan8.at.ua, guanpro.com, 000.at.ua, prof-xaker.at.ua, solocrd.zzz.com.ua, shtorm.inf.ua, professionalshippngng.com, ritual-k.in.ua, vbi.od.ua, guanpro.com, phoenix-mg.ucoz.com, jokoli.ucoz.net, msvcnet.ucoz.net, netnetget.ucoz.net, booksonline.com.ua, diagnoz.net.ua, referatu.net.ua, info-library.com.ua, radnuk.info, domahi.net, unbib.mk.ua, eenu.edu.ua, palata.fm, samcore.pro, paintball-bears.com.ua, cybersports.pro, soos.kvant.if.ua, knopka-b.kvant.if.ua, ns.digicom.net.ua, 60seconds.in.ua, rusanovka.triolan.com.ua, blockbuster.ua, vipclub-casino.com, 9journal.com.ua, maids.ua, ndiop.kiev.ua, s1.pcw.pp.ua.

Серед них є сайти з криптомайнерами. Найближчим часом підведу підсумки активності хакерів в Уанеті за 2020 рік.

Відбувся масовий взлом сайтів на сервері URAN. Він тривав на протязі 2017-2021 років: з 13.04.2017 по 31.07.2021.

Був взломаний сервер української асоціації URAN. Взлом складався з декількох масових дефейсів та багатьох окремих дефейсів. Вони відбулися тоді ж, що й масовий взлом сайтів на сервері Ukraine.

Всього було взломано 837 сайтів на сервері хостера URAN (IP 212.111.212.230). Перелік сайтів можете подивитися на www.zone-h.org. В тому числі державні ресурси npstudies.dnpb.gov.ua, patp.academy.gov.ua, jna.bio.gov.ua, vnv.asv.gov.ua двічі, vtz.asv.gov.ua двічі, journals.dnpb.gov.ua двічі, zbirnyk-nadu.academy.gov.ua двічі, journal.sops.gov.ua двічі та visnyk-nadu.academy.gov.ua.

З них 302 сайтів були взломані хакером Katib та інші сайти іншими хакерами.

Масові дефейси хакером Katib явно були зроблені через взлом серверу хостинг провайдера. У випадку окремих дефейсів по одному чи декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні сервера.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vtz.asv.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://journals.dnpb.gov.ua (хакером TheWayEnd) - 21.05.2020 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://amz.world (хакерами з Jiwa Terlena Team) - 01.04.2020 - зараз сайт вже виправлений адмінами
• http://testa.com.ua (хакером Panataran) - 03.06.2021 - зараз сайт вже закритий адмінами
• http://sirop.in.ua (хакером z3ran) - 16.06.2021

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtoshoolvsa.zt.ua - інфекція була виявлена 17.08.2020. Зараз сайт не входить до переліку підозрілих
• http://delfa-test.mk.ua - інфекція була виявлена 21.10.2020. Зараз сайт не входить до переліку підозрілих
• http://sodeistvie-pmr.com - інфекція була виявлена 22.10.2020. Зараз сайт не входить до переліку підозрілих
• http://smart-fun.com.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих
• http://ecobond.ua - інфекція була виявлена 28.10.2020. Зараз сайт не входить до переліку підозрілих