Архів для категорії 'Дослідження'

Похакані сайти №217

20:12 21.02.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://varva-rada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ssd-koda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://loko.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://mriya.pz.gov.ua (хакером Dr.SHA6H) - 11.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ivc.pz.gov.ua (хакерами з 1923Turk) - 15.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.bronedveri.lviv.ua (хакером Hmei7) - 17.10.2012, зараз сайт вже виправлений адмінами
  • http://www.eridon.ua (хакером r00tturk) - 17.02.2013, зараз сайт вже виправлений адмінами
  • http://raokriomrati.org (хакером Badi)
  • http://www.capoeira.kiev.ua (хакером guba) - 05.02.2013, зараз сайт вже виправлений адмінами
  • http://www.mizgir.com (хакером rEd X) - 01.02.2013, зараз сайт вже виправлений адмінами

Сайти varva-rada.gov.ua і ssd-koda.gov.ua вже були взломані торік.

Виявлення похаканих сайтів

19:35 20.02.2013

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

  • http://www.stomatformula.com.ua (невідомим хакером) - 03.2010
  • http://nova.kahovka.org.ua (невідомим хакером) - 03.2010
  • http://www.rentitout.com.ua (невідомим хакером) - 03.2010
  • http://chainik-art.com.ua (невідомим хакером) - 03.2010
  • http://www.2kiev.com.ua (невідомим хакером) - 04.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://www.stomatformula.com.ua/help/sh/id1.txt
http://nova.kahovka.org.ua/language/id1.txt
http://www.rentitout.com.ua/backups/ikhy1.txt
http://chainik-art.com.ua/administrator/components/com_explorer/id1.txt
http://www.2kiev.com.ua/images/id.png

Інфіковані сайти №148

22:41 19.02.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://sia-house.kiev.ua - інфекція була виявлена 19.02.2013. Зараз сайт входить до переліку підозрілих.
  • http://aviso.ua - інфекція була виявлена 17.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://sife.od.ua - інфекція була виявлена 17.02.2013. Зараз сайт входить до переліку підозрілих.
  • http://fn.ua - інфекція була виявлена 31.01.2013. Зараз сайт не входить до переліку підозрілих.
  • http://luxury.com.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://bulgaria.in.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.
  • http://dergachirda.com.ua - інфекція була виявлена 14.12.2012. Зараз сайт не входить до переліку підозрілих.
  • http://soundmaster.kiev.ua - інфекція була виявлена 07.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://expedition.vn.ua - інфекція була виявлена 12.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://zfort.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.

Виявлення похаканих сайтів

22:46 15.02.2013

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

  • http://photoworld.com.ua (невідомим хакером) - 01.2010
  • http://filtry.in.ua (невідомим хакером) - 01.2010
  • http://www.epidemia.com.ua (невідомим хакером) - 01.2010
  • http://whitelove.at.ua (невідомим хакером) - 02.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://photoworld.com.ua/zfxid1.txt
http://filtry.in.ua/components/com_mailto/idxx.txt
http://www.epidemia.com.ua/tool/fxd
http://whitelove.at.ua/a.txt

Похакані сайти №216

20:15 13.02.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.starasinyava-rda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.poltav-oblosvita.gov.ua (хакером Dr.SHA6H) - 13.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://forum.grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://kievgenplan.grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://new.vn.ua (хакером SanFour25) - 04.11.2012, зараз сайт вже виправлений адмінами
  • http://aelita-dates.com (хакером SANAL ORDU) - 17.08.2012, зараз сайт вже виправлений адмінами
  • http://sevastopolcc.org.ua (хакером Napster)
  • http://supercomputers.kiev.ua (хакером Badi)
  • http://bannex.com.ua (хакером Badi) - 28.01.2013, зараз сайт вже виправлений адмінами

Інфіковані сайти №147

22:47 11.02.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://eco-farm.com.ua - інфекція була виявлена 03.01.2013. Зараз сайт входить до переліку підозрілих.
  • http://meta.ua - інфекція була виявлена 04.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://dp.biz.ua - інфекція була виявлена 03.01.2013. Зараз сайт входить до переліку підозрілих.
  • http://tyachiv.org - інфекція була виявлена 11.01.2013. Зараз сайт не входить до переліку підозрілих.
  • http://www.tourism.tyachiv.org - інфекція була виявлена 11.01.2013. Зараз сайт входить до переліку підозрілих.
  • http://mts.com.ua - інфекція була виявлена 05.02.2013. Зараз сайт не входить до переліку підозрілих.
  • http://hottub.com.ua - інфекція була виявлена 10.12.2012. Зараз сайт входить до переліку підозрілих.
  • http://it-group.dp.ua - інфекція була виявлена 17.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://zarabotokplus.com.ua - інфекція була виявлена 31.01.2013. Зараз сайт входить до переліку підозрілих.
  • http://vesillya.uz.ua - інфекція була виявлена 26.01.2013. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №215

20:16 01.02.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://civic.kmu.gov.ua (хакером HTC 28 DZ) - 26.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ladrada.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://nmckherson.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://postsense.net (хакером hacker)
  • http://glambaby.com.ua (хакерами з 1923Turk) - 10.12.2012, зараз сайт вже виправлений адмінами

Повторний масовий взлом сайтів на сервері Cityhost

22:43 31.01.2013

В першому півріччі вже відбувся масовий взлом сайтів на сервері Cityhost, а в другому півріччі відбувся повторний взлом цього сервера. За період з 07.07.2012 по 29.01.2013 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Який складався з серії дефейсів.

Всього було взломано 39 сайтів (в сумі 85 сайтів) на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: www.polki.kh.ua, rubin.kharkov.ua, www.deafsport.org.ua, chehoeva.com, eko-water.com.ua, kolopatriotiv.org, teach.co.ua, 1cb.com.ua, buh-audit.com.ua, e-teach.com.ua, orientir.co.ua, xn--j1amdg6b.in.ua, teach.biz.ua, uatraining.com.ua, 1c.orientir.co.ua, moretepla.com.ua, prykarpaty.net, sambir-bojky.prykarpaty.net, sambir-ptycia.prykarpaty.net, sambirkult.prykarpaty.net, sambirlis.prykarpaty.net, stslis.prykarpaty.net, tour.prykarpaty.net, turkamrada.prykarpaty.net, rvo.stsrda.gov.ua, arrs.org.ua, bilak.in.ua, bilaky.prykarpaty.net, dush.prykarpaty.net, favoryt.prykarpaty.net, favoryty.com.ua, gal-elektro.com.ua, jojo-haircosmetics.prykarpaty.net, mam.prykarpaty.net, stsrda.gov.ua, senselight.com.ua, ceramic-design.com.ua, videonik.net.ua, beeart.com.ua. Серед них українські державні сайти rvo.stsrda.gov.ua та stsrda.gov.ua.

З зазначених 39 сайтів 2 сайти був взломаний хакером Hmei7, 5 сайтів хакером Sejeal, 8 сайтів хакером MJHOOL-HKR, 20 сайтів хакером Dr.SHA6H, 3 сайти хакером nesta та 1 сайт хакером DaiLexX.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 20 сайтів, немає сумнівів, що вони були взломані Dr.SHA6H через взлом серверу хостінг провайдера, або акаунтів, в яких було багато сайтів (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

P.S.

У лютому і березні продовжилися взломи сайтів на цьому сервері. Були дефейснуті ще 5 сайтів хакером Sejeal, 1 сайт хакером Hmei7 і 2 сайти хакером s13doeL.

Інфіковані сайти №146

20:11 29.01.2013

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://tyachiv-rda.gov.ua - інфікований державний сайт - інфекція була виявлена 20.12.2012. Зараз сайт входить до переліку підозрілих.
  • http://summit.dp.ua - інфекція була виявлена 22.01.2013. Зараз сайт не входить до переліку підозрілих.
  • http://photo-portal.in.ua - інфекція була виявлена 22.01.2013. Зараз сайт входить до переліку підозрілих.
  • http://tire.ua - інфекція була виявлена 20.11.2012. Зараз сайт не входить до переліку підозрілих.
  • http://jettec-mrm.com.ua - інфекція була виявлена 01.12.2012. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №214

20:11 23.01.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://sumy-g.upszn-sumy.gov.ua (хакером hatrk) - 11.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://bogodukhivrda.gov.ua (хакером DR-MTMRD) - 18.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://vinjust.gov.ua (хакером Nob0dy) - 22.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.formulove.com.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами
  • http://ufb.org.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами