Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mon-ark.gov.ua (хакером SnIpEr_39) - 05.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stakherson.gov.ua (хакерами з LatinHackTeam) - 07.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tutorials.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://scuba-d.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://whatisit.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sta.gov.ua - інфікований сайт Державної податкової служби України. Інфекція була виявлена 10.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 12.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://deltaig.com.ua - інфекція була виявлена 17.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://rusteatr.odessa.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://dodmc.dn.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://legalreform.gov.ua (хакерами з LatinHackTeam) - 21.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lr.nssmc.gov.ua (хакерами з TeaM MosTa) - 23.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mebligrand.com.ua (хакером RcP)
• http://promaua.dp.ua (хакером RcP)
• http://zolotoy-koshik.com.ua (хакером ikus4) - 04.06.2012, зараз сайт вже виправлений адмінами

За період з 24.04.2012 по 28.04.2012 відбувся масовий взлом сайтів на сервері VinNest. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії VinNest. Взлом складався з серії взломів, які відбулися після згаданого масового взлому сайтів на сервері Cityhost.

Всього було взломано 58 сайтів на сервері української компанії VinNest (IP 193.243.158.18). Це наступні сайти: vinnitskaya-svadba.com.ua, www.kohana-kohaniy.com.ua, chumak.vn.ua, www.djenta.com.ua, drlab.com.ua, jewishtravel.com.ua, vipdom.vn.ua, dad.vn.ua, compquartal.vn.ua, www.vtranspribor.com.ua, www.handbook.com.ua, centershow.com.ua, erunit.com, filin.vn.ua, axioma-cr.vn.ua, bocconcino.com.ua, golos-narodu.com.ua, glycerin.com.ua, edem-agency.com, altecs.com.ua, czechclub.com.ua, aurora-salon.com.ua, 10a.vn.ua, healthslao.com.ua, www.voa.vn.ua, www.vakhovskyy.com.ua, vorota.vn.ua, yursana.com, ukrpain.com.ua, spec.vn.ua, www.t.vn.ua, www.klondikeband.com.ua, roza.vn.ua, www.vininvest.gov.ua, www.vipcard.vn.ua, www.vinnychany.kiev.ua, www.vininfo.vn.ua, tsk-ukraine.com.ua, soloha.vn.ua, www.sobaka.vn.ua, vinrda.gov.ua, ros.ua, www.raduga.vn.ua, pay.bird4.nest.vn.ua, minitv.vn.ua, mashtab.com.ua, www.magicenter.com.ua, www.vintrans.vn.ua, lux.vn.ua, www.planet-m.com.ua, itcentre.net.ua, www.vipmed.vn.ua, www.vin-ocsssdm.com.ua, vitacom.vn.ua, serdechko.bird4.nest.vn.ua, www.vincor.vn.ua, www.vmc.vn.ua, vinoblzem.gov.ua. Серед них українські державні сайти www.vininvest.gov.ua, vinrda.gov.ua та vinoblzem.gov.ua.

З зазначених 58 сайтів 5 сайтів були взломані хакером Dj_Taleh, 1 сайт хакерами з TOP-TEAM та 52 сайти були взломані хакером TURK KURSUNU.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 52 сайтів, немає сумнівів, що вони були взломані TURK KURSUNU через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://masterphone.com.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://litech.net - інфекція була виявлена 25.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://valki.ucoz.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://masofrt.pl.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://priroda.com.ua - інфекція була виявлена 26.04.2012. Зараз сайт не входить до переліку підозрілих.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості в наступних системах Інтернет-банкінга (що використовуються українськими банками):

• IFOBS
• IFOBS
• IFOBS

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• www.petsshop.com.ua
• www.shopping.mk.ua
• vsevodnom.com.ua
• maximhorses.com
• decibel.com.ua
• marketzoo.com.ua
• patatuyki.com.ua
• roboexchenge.com
• roboexchange.net
• ups-store.com.ua
• shop.vibroseparator.ua
• 8oda.kiev.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• www.jasmin.biz.ua
• kityn.kiev.ua
• e-apteka.com.ua
• mirspeciy.com.ua
• tovarnadom.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dabi.gov.ua (хакером Vprotest) - 15.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vin-osvita.gov.ua (хакерами з BRMC) - 22.03.2012 - похаканий державний сайт, на сайті все ще розміщений txt файл хакерів
• http://www.gtseminary.kiev.ua (хакерами з Kosova Hackers Crew)
• http://ringfb.net (хакером Hybris) - 25.04.2012, зараз сайт вже виправлений адмінами
• http://propipe.com.ua (хакером sovok)

За період з 25.10.2010 по 19.03.2012 відбувся масовий взлом сайтів на сервері Cityhost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Cityhost. Взлом складався з серії взломів і останній взлом відбувся після згаданого масового взлому сайтів на сервері CityNet.

Всього було взломано 46 сайтів на сервері української компанії CityNet (IP 77.120.115.235). Це наступні сайти: rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua, tour.stsrda.gov.ua, ved.svittancu.com.ua, artisthall.com, svittancu.com.ua, test.svittancu.com.ua, www.tramtata.net.ua, impulsbud.com, stabilizatora.net, ukrgasoil.com, www.akit.in.ua, advokat.delok.info, delok.info, ferokupidon.com, poluneeva.org.ua, dobro-diy.com.ua, foto.delok.info, nicer.com.ua, ajure.com.ua, lsu.kiev.ua, georgia-tour.com, radojavor.com, test.delok.info, ur-poslugi.com.ua, avto-boss.com.ua, h.akit.com.ua, test2.delok.info, utic.com.ua, taxi-boss.com.ua, akit.com.ua, brendonmusic.com, jt-fashion.net, for-tour.com.ua, chehoeva.com, www.fds-sales.ru, www.lesnoyray.com, grafplast.com.ua, sharanet.com.ua, www.nimchenko-design.com.ua, rubin.kharkov.ua, www.niidkif.org.ua, www.klt.org.ua, kofeinbest.com.ua, x.akcia.kiev.ua. Серед них українські державні сайти rvk.stsrda.gov.ua, rvo.sambirrda.gov.ua, sambirrada.gov.ua та tour.stsrda.gov.ua.

З зазначених 46 сайтів 4 сайти були взломані хакерами з LatinHackTeam, 4 сайти хакером ghost-dz, 1 сайт хакерами з 1923Turk, 7 сайтів хакером iskorpitx, 25 сайтів хакером Torres, 1 сайт хакером kaMtiEz, 3 сайти хакером EraGoN та 1 сайт хакером Big-SMoke.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 25 сайтів, немає сумнівів, що вони були взломані Torres через взлом серверу хостінг провайдера (всі інші дефейси проводилися під час взломів окремих сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт, інфекція була виявлена 22.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://simonischool.at.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://medsjoy.biz - інфекція була виявлена 27.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://tcp.com.ua - інфекція була виявлена 23.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://campton.pp.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2009 - 2011 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2009, 2010 і 2011 роках.

За весь 2009 рік в Уанеті було інфіковано 67 веб сайтів.

За весь 2010 рік в Уанеті було інфіковано 264 веб сайтів.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси). Деяке зменшення кількості інфікованих сайтів в 2011 році явно пов’язане з тим, що торік я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Динаміка зараження сайтів в Уанеті.

В 2009 році активність зросла на 1575% порівняно з 2008 роком (зростання в 16,75 рази).

В 2010 році активність зросла на 294% порівняно з 2009 роком (зростання в 3,94 рази). В порівнянні з 2008 роком активність зросла на 6500% (в 66 разів).

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика.