Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://aromantica.com.ua - інфекція була виявлена 15.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://6222.com.ua - інфекція була виявлена 23.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://mednesko.com - інфекція була виявлена 20.03.2012. Зараз сайт входить до переліку підозрілих.
• http://buynaksk.com - інфекція була виявлена 15.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://lds-led.com.ua - інфекція була виявлена 26.01.2012. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт 6222.com.ua також хостить в себе Укртелеком.

Минулого року 08.08.2011 та 19.12.2011, відбувся масовий взлом сайтів на сервері Pavlabor. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Pavlabor. Взлом, що складався з двох взломів (великого та невеликого), відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 93 сайти на сервері української компанії Pavlabor (IP 194.146.180.161). Це наступні сайти: www.pga-01pcg.pavlabor.net, www.dpgn.sumy.ua, www.amuson.sumy.ua, www.poeab-lpga-01s.pavlabor.net, www.jeliba.co.uk, www.bezpekopolis.sumy.ua, www.translation-into-russian-ukrainian.net.ua, www.ddd.sumy.ua, www.lpga-01pc.pavlabor.net, www.dolphin.com.ua, www.englishmaster.kiev.ua, www.dadonov.sumy.ua, www.cea.org.ua, www.ekonomik.com.ua, www.etc.sumy.ua, www.fotoklub.com.ua, www.vodobur.sumy.ua, www.lpa-01pcg.pavlabor.net, www.veterinar.sumy.ua, www.chameleon.sumy.ua, www.zitaio.sumy.ua, www.bilbow.com.ua, www.fotokonkurs.sumy.ua, www.bania.sumy.ua, www.vivat.tv, www.tarsa.ur-kraina.com.ua, www.sumaster.com.ua, www.sumdergrybohorona.gov.ua, www.termostroy.com.ua, www.volkswagen.sumy.ua, www.sollyplus.sumy.ua, www.ssh25.sumy.ua, www.shuzo.sumy.ua, www.scelf.sumy.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua, www.prokuratura.sumy.ua, www.private-design.com.ua, www.sbn.sumy.net.ua, www.b.sumy.net.ua, www.fresh.xnet.sumy.ua, www.xnet.sumy.ua, www.forum.xnet.sumy.ua, www.test.sumy.net.ua, www.fresh.sumy.net.ua, www.lpa.pavlabor.net, www.25.school.sumy.ua, www.2.school.sumy.ua, www.manikur.sumy.ua, www.sano.sumy.ua, www.perotex.com.ua, www.greenprint.com.ua, www.delphicapital.com.ua, www.city.sumy.ua, www.arizona.net.ua, www.182.146.194.in-addr.arpa, www.183.146.194.in-addr.arpa, www.180.146.194.in-addr.arpa, www.181.146.194.in-addr.arpa, www.poeb-lpga-01.pavlabor.net, www.poeab-lpga-02m.pavlabor.net, www.poe.pavlabor.net, www.lp.pavlabor.net, www.cmz-sumy.com, www.poeab-lpga-02s.pavlabor.net, www.joomla.ot4et.com.ua, www.poeab-lpga-01m.pavlabor.net, www.evroremont.sumy.ua, www.openit17.ot4et.com.ua, www.lp-compare.pavlabor.net, www.new.ot4et.com.ua, www.opencart.manikur.sumy.ua, www.pavlabor.net, www.europa-sumy.com, www.kolchuga-lp.pavlabor.net, www.groza.pavlabor.net, www.ot4et.com.ua, www.forum.pavlabor.net, www.evropa-sumy.com, www.openit.ot4et.com.ua, www.lpau.pavlabor.net, www.manuscript.net.ua, www.works.sumy.ua, www.kapro.sumy.ua, www.medbib.zt.ua, www.krasnodon.com.ua, gorod-sumy.com.ua, uebersetzung-ins-russische-ukrainische.net.ua, www.grace.com.ua, www.jeliba.com.ua, www.photokonkurs.sumy.ua, www.ur-kraina.com.ua. Серед них українські державні сайти www.sumdergrybohorona.gov.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua.

З зазначених 93 сайтів 92 сайти були взломані хакером DEATH_K1NG та 1 сайт хакерами з RHK.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремого взлому одного сайта). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sms.gov.ua (хакером CyberMind) - 02.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.shevruo.da-kyiv.gov.ua (хакером Z4R4THUSTR4) - взломаний державний сайт
• http://natorg.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
• http://shiny.co.ua (хакером EhabNeo) - 03.2012, зараз сайт не працює
• http://credit.inf.ua (хакером FunKraL) - 12.01.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://personal-service.com.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://r-p.com.ua - інфекція була виявлена 11.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://salesman.ua - інфекція була виявлена 09.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://konkor.com.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://avangard21.com.ua - інфекція була виявлена 05.01.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://crimea.dzk.gov.ua (хакером CyberMind) - 01.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://brda.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.bc-mvs.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://extracomp.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
• http://torgsnab.net (хакером iskorpitx) - 12.08.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ex-ua.net.ua - інфекція була виявлена 07.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://anko.com.ua - інфекція була виявлена 10.02.2012. Зараз сайт входить до переліку підозрілих.
• http://orthodox.uz.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://wol.org.ua - інфекція була виявлена 28.02.2012. Зараз сайт входить до переліку підозрілих.
• http://webhosting.com.ua - інфекція була виявлена 06.03.2012. Зараз сайт не входить до переліку підозрілих.

Після численних DDoS атак на gov.ua сайти, у лютому в Уанеті знову були проведені масові DDoS атаки. Цього разу вони були направлені не на владні ресурси, а на ішні сайти.

Як повідомили мені минулого місяця (шляхом спаму) представники IPU, у лютому були проведені DDoS атаки на ряд сайтів пов’язаних з Дмитром Голубовим, засновником Інтернет Партії України (IPU). Були атаковані сайти інтернет-видань lb.ua і dumskaya.net, на яких розміщувалися блоги Дмитра Голубова, а також сайт Інтернет Партії України та сайт реєстратора домена www.ipu.com.ua компанії NIC.UA.

Всього були проведенні DDoS атаки на наступні сайти:

• lb.ua - 17.02.2012
• dumskaya.net - 18.02.2012
• nic.ua - 18.02-21.02.2012
• www.ipu.com.ua - 21.02.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://starasinyava-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 01.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://mriya.pz.gov.ua (хакерами з Turkish Energy Team) - 28.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://borispol-rada.gov.ua (хакерами з Ashiyane Digital Security Team) - 25.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://natorg.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
• http://metro-media.com.ua (хакерами Margu і BlueHackerTR) - 30.01.2012, зараз сайт не працює (відключений провайдером через його взлом)

В період 20.07.2011-24.07.2011, 01.11.2011-07.11.2011, 16.11.2011-20.11.2011 і 25.12.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Другий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом, що складався з двох великих взломів та п’яти окремих взломів по одному сайту, відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 261 сайт на сервері української компанії Freehost (IP 178.20.153.6). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.arhioda.gov.ua, www.mykcustoms.gov.ua, www.city-izyum.gov.ua.

З зазначеного 261 сайту 105 сайтів були взломані хакерами DAVACI та SLYHACKER, 152 сайтів хакером J0K3R R3TURN, 1 сайт хакерами з 1923Turk, 1 сайт хакером sLizer, 1 сайт хакером iskorpitx та 1 сайт хакером FEnR.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремих одиночних взломів сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://rhemachurch.dn.ua - інфекція була виявлена 11.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://mebelrim.in.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://market-ua.org.ua - інфекція була виявлена 22.12.2011. Зараз сайт входить до переліку підозрілих.
• http://uraking.at.ua - інфекція була виявлена 30.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://nau.edu.ua - інфекція була виявлена 13.02.2012. Зараз сайт не входить до переліку підозрілих.