Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://reskomstroy.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://reskomtrans.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://minenergy.ark.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://doroga-zhizni.com (хакером ynR)
• http://www.britishcouncil.dn.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://selfremember.net - інфекція була виявлена 01.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://ofinans.com.ua - інфекція була виявлена 16.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://kvvaiu.net - інфекція була виявлена 14.10.2012. Зараз сайт входить до переліку підозрілих.
• http://radioera.com.ua - інфекція була виявлена 26.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://tuare.org.ua - інфекція була виявлена 25.10.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://popilnya-rajrada.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://minregiongkh.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://msp.ark.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.lviv.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.com.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cs-mapping.com.ua - інфекція була виявлена 09.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://c8.net.ua - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://3s.ua - інфекція була виявлена 16.10.2012. Зараз сайт входить до переліку підозрілих.
• http://lukas.com.ua - інфекція була виявлена 08.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://ava.ua - інфекція була виявлена 26.09.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.amnu.gov.ua (хакером The.Bilen) - 10.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://chasovrada.gov.ua (хакером AL.MaX HaCkEr) - 16.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.minagro.gov.ua (хакером ENO) - 24.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.fokus-pokus.info (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.fokus-pokus.com (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.sharpei.com.ua (хакером uykusuz001)
• http://www.britishcouncil.net.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.kiev.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.od.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://zoorinok.com.ua (хакером endless)

В липні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2008 - 2012 років: від 28.01.2008 до 02.08.2012. Шостий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з багатьох невеликих дефейсів по одному або декілька сайтів.

Всього було взломано 50 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: reception.od.ua, www.lis.gov.ua, yunykphoto.com, your-amber.com, webka.kiev.ua, yogavajra.com, skp-studio.com, kolgotki-trusiki.org.ua, djzorro.org.ua, remont-pod-kluch.kiev.ua, bez-sigaret.com, ilark.com.ua, champion.kiev.ua, offset.kiev.ua, vitaline.kiev.ua, kievkids.net, arocars.org, drukarnya.in.ua, elitbud.kiev.ua, evgenia.com.ua, gvindor.com, kradenkov.info, techltdua.com, sb66.com.ua, ua-pr.com, bugaz.od.ua, grow-in-web.net, weddingphoto.com.ua, y-style.com.ua, wakeschool.com.ua, advokat.lviv.ua, www.topmebel.com.ua, webkiev.com, karnizy.com, www.domix.biz, www.fada.com.ua, www.isygen.com, www.domix.biz, www.vip-people.org, www.saaber.in.ua, www.compromat.in.ua, kendo.kiev.ua, a-music.com.ua, www.expertsoft.com.ua, polyforum.info, kdnbc.co.ua, kharkovdnb.co.ua, group.kharkovdnb.co.ua, www.modzzone.com. Серед них український державний сайт www.lis.gov.ua, що був взломаний двічі - в минулому і поточному році.

З зазначених 50 сайтів 1 сайт був взломаний хакером ExE.Ps, 1 сайт хакером Z4X, по 2 сайти хакерами prince_dz, ashiyane digital security team, HiTLEr 737, 7 сайтів хакером Dr.Tmnetk, 6 сайтів хакером fahad, 2 сайти хакером alwahsh, 3 сайти хакерами з TeaM AlQraSna Al3rab, 6 сайтів хакером CoOL BoY, по 1 сайту хакерами Original Dz, ahmdosa hacker, iskorpitx, Fatal Error, Injector, Abu-Slman, Red Eye, IndonesiaCoder Team, ByES-TIM, 3 сайти хакером 3RqU, 5 сайтів хакером Body Null та 1 сайт хакером M3rhametsiz.

Всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ideatrio.com.ua - інфекція була виявлена 09.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://politologs.org.ua - інфекція була виявлена 09.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kdc.kiev.ua - інфекція була виявлена 30.09.2012. Зараз сайт входить до переліку підозрілих.
• http://dana-kiev.com.ua - інфекція була виявлена 16.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://waldorf.in.ua - інфекція була виявлена 07.09.2012. Зараз сайт не входить до переліку підозрілих.

В підсумках хакерської активності в Уанеті в 1 півріччі 2012 я зазначав, що всього за цей період я виявив 98 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2012 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, Adamant, Autocenter, BSB Service, Besthosting, Black Sea, CaroNet, Cityhost, Citynet, Colocall, Compubyte Limited, Crimea Internet Services, Datagroup, Delta-X, Dream Line, Freehost, Golden Telecom, Goodnet, Hetzner, HomeUA, Hvosting, Inetmar, Internet-Hosting, Keyweb Online, Lancom, Limestone Networks, Master-Service, MiroHost, NAU, Root, STC Energy, Service Online, SteepHost, Tangram Ukraine, Taras Shevchenko University of Kyiv Network, Terabit, Triolan, UARNet, UN, Ukrainehosting, Ukrnames, Volia, VolumeDrive, Webalta, Wnet, iHome, Візор, Укртелеком.

Найбільші інфіковані хостери (TOP-10):

1. Delta-X - 7 сайтів
2. Adamant - 6 сайтів
3. MiroHost - 5 сайтів
4. UARNet - 4 сайтів
5. Compubyte Limited - 4 сайтів
6. Besthosting - 4 сайтів
7. Internet-Hosting - 4 сайтів
8. Volia - 3 сайтів
9. Freehost - 3 сайтів
10. Укртелеком - 3 сайтів

Всього було виявлено хостінги 91 сайта з 98. У випадку інших 7 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.krasn-rada.gov.ua (хакерами з KalimndorTeam) - 13.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.molodogvardiysk-rada.gov.ua (хакерами з KalimndorTeam) - 13.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.krasnoarmiyska-rada.gov.ua (хакерами з KalimndorTeam) - 13.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nshvets.com (хакерами з Black HaT Group)
• http://alexdesign.dn.ua (хакером siamak.black) - 03.09.2012, зараз сайт вже виправлений адмінами

У липні, 06.07.2012, відбувся масовий взлом сайтів на сервері Hetzner Online AG. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner Online AG, на якому хостилися українські сайти. Взлом відбулася після згаданого масового взлому сайтів на сервері Adamant.

Всього було взломано 24 сайти на сервері компанії Hetzner Online (IP 176.9.90.197). Це наступні сайти: kprda.arsana.com.ua, catalog.novini.net.ua, dopros.arsana.com.ua, eljuris.arsana.com.ua, iren.arsana.com.ua, lawonline.arsana.com.ua, lesya.arsana.com.ua, stezhkami.arsana.com.ua, all.arsana.com.ua, portatemporis.com, daniloviko.com.ua, lesiapylypchuk.com.ua, nachasi.com.ua, novini.net.ua, polimet.km.ua, vip-info.com.ua, zabava-tour.com, kprda.gov.ua, portatempus.com, arsana.com.ua, fishka-shop.com, wellkamianets.com.ua, eljuris.com.ua, pererojdenie.info. Серед них український державний сайт kprda.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Всі 24 сайти були взломані хакером nO lOv3 на протязі одного дня.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 24 сайтів, то вони могли бути атаковані хакером nO lOv3 через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.