Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://connected.dn.ua - інфекція була виявлена 20.07.2012. Зараз сайт входить до переліку підозрілих.
• http://sanatoriitruskavca.com - інфекція була виявлена 27.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://olenchinkova.com - інфекція була виявлена 26.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrwest.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrzahid.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.

В своєму звіті про хакерську активність в Уанеті в 1 півріччі 2012, я згадував, що в першому півріччі було інфіковано 98 сайтів (з них 9 державних сайтів).

Всі ці сайти в основному використовують опенсорс веб додатки. На це я весь час звертав увагу в під час досліджень взломаних та інфікований сайтів, та вирішив провести детальне дослідження, щоб підтвердити свої спостереження.

Учора я провів дослідження 98 сайтів, що були інфіковані в першому півріччі 2012 року, і на 41 сайті вдалося виявити движки. Частина з 98 сайтів вже не працювала (у деяких домен не працював, у деяких хостер тимчасово заблокував сайт), декілька використовують html (при цьому частина з них ховає php-додатки за розширенням html), а ще частина використовували власні php-скрипти (що також опенсорс веб додатки, лише custom made).

На перевірених сайтах використовуються наступні движки:

Joomla - 21
WordPress - 7
DataLife Engine - 4
osCommerce - 2
WebAsyst Shop-Script - 2
Danneo CMS - 1
Drupal - 1
Megapolis.Portal Manager - 1
phpWebSite - 1
Serendipity - 1

Тобто майже всі інфіковані сайти, з числа працюючих, використовували (за станом на 23.09.2012) відкриті веб програми.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://tcso.gov.ua (хакером VirusDuba) - 20.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://khkr.gov.ua (хакером MeGo) - 07.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kava.vn.ua (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://www.ekstramed.com.ua (хакером Hmei7) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://privat-agent.if.ua (хакером aLLiGaToR) - 01.09.2012, зараз сайт вже виправлений адмінами. До речі, це сайт агента ПриватБанк (і за безпекою він слідкує так само як і ПБ)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dobrostroy.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kishta.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://megasuperomatic.com - інфекція була виявлена 21.09.2012. Зараз сайт входить до переліку підозрілих.
• http://insel.kiev.ua - інфекція була виявлена 12.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://muzfan.in.ua - інфекція була виявлена 25.07.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dugbsme.gov.ua (хакером DaiLexX) - 07.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pustomyty-rada.gov.ua (хакерами з team sality) - 11.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://airland.ukrhost.com (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://blazerterra.u72.ukrhosting.com (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://mak-media.vn.ua (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами

За період 07.07.2011, 11.08.2011 та з 05.01.2012 по 13.07.2012 відбувся масовий взлом сайтів на сервері Adamant. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Adamant. Взлом складався з серії взломів, частина з яких відбулася в той же час, що і згаданий масовий взлом сайтів на сервері Unlim.

Всього було взломано 299 сайтів на сервері української компанії Adamant (IP 91.205.16.134). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт ztums.gov.ua.

З зазначених 299 сайтів 2 сайти були взломані хакером Hasanixo, 1 сайт хакером The-HunTeR, 2 сайти хакером EGY VANDETTA, 1 сайт хакером Tr0janMasr, 286 сайтів хакером ikus4, 1 сайт хакером Hmei7, 1 сайт хакерами з Tetova Hackers Team, 2 сайти хакером Saudi Terrorist, 1 сайт хакером ZoRRoKiN, 1 сайт хакером iskorpitx та 1 сайт був взломаний хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 288 сайтів, немає сумнівів, що вони були взломані хакером ikus4 через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://locadm.gov.ua - інфікований державний сайт - інфекція була виявлена 12.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://portovik.com.ua - інфекція була виявлена 30.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://vesilja.at.ua - інфекція була виявлена 01.09.2012. Зараз сайт входить до переліку підозрілих.
• http://myhobby.vn.ua - інфекція була виявлена 21.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://algol.in.ua - інфекція була виявлена 17.07.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://www.ua-personaltrainer.net (невідомим хакером) - 19.08.2012

Файли, що використовуються для RFI атак:

http://www.ua-personaltrainer.net/language/file/id.gif - файл все ще розміщений на сайті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://putivl-rda.gov.ua (хакером DaiLexX) - 04.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.desn.gov.ua (хакером DaiLexX) - 04.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://putivlrada.gov.ua (хакером Hmei7) - 29.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://photolives.com.ua (хакерами з RKH)
• http://gazovik.od.ua (хакером Nob0dy) - 04.09.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mk-ua.org - інфекція була виявлена 12.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://sgames.ua - інфекція була виявлена 03.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://delo.ua - інфекція була виявлена 27.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://buildingforum.com.ua - інфекція була виявлена 11.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://codec.kiev.ua - інфекція була виявлена 05.07.2012. Зараз сайт не входить до переліку підозрілих.