Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://civic.kmu.gov.ua (хакером HTC 28 DZ) - 26.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ladrada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nmckherson.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://postsense.net (хакером hacker)
• http://glambaby.com.ua (хакерами з 1923Turk) - 10.12.2012, зараз сайт вже виправлений адмінами

В першому півріччі вже відбувся масовий взлом сайтів на сервері Cityhost, а в другому півріччі відбувся повторний взлом цього сервера. За період з 07.07.2012 по 29.01.2013 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Який складався з серії дефейсів.

Всього було взломано 39 сайтів (в сумі 85 сайтів) на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: www.polki.kh.ua, rubin.kharkov.ua, www.deafsport.org.ua, chehoeva.com, eko-water.com.ua, kolopatriotiv.org, teach.co.ua, 1cb.com.ua, buh-audit.com.ua, e-teach.com.ua, orientir.co.ua, xn--j1amdg6b.in.ua, teach.biz.ua, uatraining.com.ua, 1c.orientir.co.ua, moretepla.com.ua, prykarpaty.net, sambir-bojky.prykarpaty.net, sambir-ptycia.prykarpaty.net, sambirkult.prykarpaty.net, sambirlis.prykarpaty.net, stslis.prykarpaty.net, tour.prykarpaty.net, turkamrada.prykarpaty.net, rvo.stsrda.gov.ua, arrs.org.ua, bilak.in.ua, bilaky.prykarpaty.net, dush.prykarpaty.net, favoryt.prykarpaty.net, favoryty.com.ua, gal-elektro.com.ua, jojo-haircosmetics.prykarpaty.net, mam.prykarpaty.net, stsrda.gov.ua, senselight.com.ua, ceramic-design.com.ua, videonik.net.ua, beeart.com.ua. Серед них українські державні сайти rvo.stsrda.gov.ua та stsrda.gov.ua.

З зазначених 39 сайтів 2 сайти був взломаний хакером Hmei7, 5 сайтів хакером Sejeal, 8 сайтів хакером MJHOOL-HKR, 20 сайтів хакером Dr.SHA6H, 3 сайти хакером nesta та 1 сайт хакером DaiLexX.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 20 сайтів, немає сумнівів, що вони були взломані Dr.SHA6H через взлом серверу хостінг провайдера, або акаунтів, в яких було багато сайтів (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

P.S.

У лютому і березні продовжилися взломи сайтів на цьому сервері. Були дефейснуті ще 5 сайтів хакером Sejeal, 1 сайт хакером Hmei7 і 2 сайти хакером s13doeL.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tyachiv-rda.gov.ua - інфікований державний сайт - інфекція була виявлена 20.12.2012. Зараз сайт входить до переліку підозрілих.
• http://summit.dp.ua - інфекція була виявлена 22.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://photo-portal.in.ua - інфекція була виявлена 22.01.2013. Зараз сайт входить до переліку підозрілих.
• http://tire.ua - інфекція була виявлена 20.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://jettec-mrm.com.ua - інфекція була виявлена 01.12.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumy-g.upszn-sumy.gov.ua (хакером hatrk) - 11.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bogodukhivrda.gov.ua (хакером DR-MTMRD) - 18.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinjust.gov.ua (хакером Nob0dy) - 22.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.formulove.com.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами
• http://ufb.org.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vvadm.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 27.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://vsveta.com.ua - інфекція була виявлена 21.01.2013. Зараз сайт входить до переліку підозрілих.
• http://troeschina.com - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://b-52.kiev.ua - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 31.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chernihiv.mns.gov.ua (хакером TURK KURSUNU) - 02.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agrex.gov.ua (хакером FaiSaL404) - 06.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.s-p.com.ua (хакером Franky)
• http://www.p-planet.net (хакером hacker) - 07.01.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://isc.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт входить до переліку підозрілих.
• http://dsmu.com.ua - інфекція була виявлена 21.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://morevse.com.ua - інфекція була виявлена 26.12.2012. Зараз сайт входить до переліку підозрілих.
• http://afhelp.in.ua - інфекція була виявлена 07.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://hobby-games.com.ua - інфекція була виявлена 04.01.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://konkurs.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://itbase.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sforum.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tfmg.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://abort-info.com.ua (хакерами з 1923TURK GRUP)
• http://www.dabi.com.ua (хакерами з 1923TURK GRUP)
• http://etrus.com.ua (хакером EvilEs CyberBitirici) - причому спочатку сайт 25.11.2012 був взломаний EvilEs CyberBitirici, а вже 08.12.2012 він був взломаний 1923TURK GRUP, зараз сайт вже виправлений адмінами. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://svitelt.com.ua (хакерами з Dark Elite Cr3w)
• http://intercars.zp.ua (хакерами з 1923TURK GRUP)

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2011 - 2012 років: від 28.07.2011 до 14.12.2012. Сьомий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів та двох крупних дефейсів сайтів.

Всього було взломано 140 сайтів на сервері хостера HostPro (IP 194.28.86.115). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайті investmelitopol.gov.ua, mlt.gov.ua та invest-melitopol.gov.ua (два останні сайти були взломані двічі - в минулому і поточному році).

З зазначених 140 сайтів 1 сайт був взломаний хакером Dr.SHANO, 1 сайт хакером EjRaM 7rB, 19 сайтів хакером Mast3r M!nd, 8 сайтів хакером DarKwoLf, 39 сайтів хакером ynR, 10 сайтів хакером VolcanoHacker, 5 сайтів хакером tn_hacker, 49 сайтів хакером sniper.t, 1 сайт хакером AMIN SAFI, 4 сайти хакером dr.timor, 1 сайт хакером pSyCh0, 1 сайт хакером Silent_Hell та 1 сайт хакером iskorpitx.

При крупних дефейсах, як у випадку ynR і sniper.t, сайти могли бути атаковані хакерами через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mandrivi.com - інфекція була виявлена 22.12.2012. Зараз сайт входить до переліку підозрілих.
• http://ukrstor.com - інфекція була виявлена 08.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://noutfix.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт входить до переліку підозрілих.
• http://history.org.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://brusilov.com.ua - інфекція була виявлена 29.11.2012. Зараз сайт входить до переліку підозрілих.
• http://testo.kiev.ua - інфекція була виявлена 12.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://ip-change.com - інфекція була виявлена 23.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://kompass.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://bfg.org.ua - інфекція була виявлена 08.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://itmag.com.ua - інфекція була виявлена 14.10.2012. Зараз сайт не входить до переліку підозрілих.