Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dnipr.gov.ua (хакером dencowbie) - 15.11.2011 - взломаний державний сайт, на сайті все ще розміщений txt файл хакера
• http://www.clinic-1.gov.ua (хакерами з Red Eye Crew) - 23.11.2011 - взломаний державний сайт, зараз сайт не працює
• http://voronizh-rada.gov.ua (хакерами з Afghan Exploiters Team) - 24.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://torgsnab.net (хакером iskorpitx) - 12.08.2011, зараз сайт вже виправлений адмінами
• http://www.volkswagen.lg.ua (хакерами з TeaM MosTa Dz Hacker) - 12.02.2012, зараз сайт вже виправлений адмінами

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2009 - 2011 років: 18.12.2009, 05.03.2010-26.11.2010 та 23.10.2011. П’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (46 сайтів в 2011 році) та декількох невеликих дефейсів по одному або декілька сайтів (в попередні роки).

Всього було взломано 57 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: vipcat.net, vicatto.pp.ua, valeryshcherytsa.com, terapia.kiev.ua, stelki.in.ua, status-studfarm.com, thespacecakes.com, machocondoms.com.ua, mikadocondoms.com, ozon.com.ua, ozonsafety.com, ukr.ozon.com.ua, shkid.com.ua, promo-sumki.com.ua, tehnadzor.zp.ua, nasutki.zp.ua, midas-bud.com.ua, mariupolonline.com, nasutki.org.ua, sinklit.com.ua, samson-rem.com.ua, mishutkinclub.com.ua, naer.gov.ua, masenko.com.ua, macservice.com.ua, asdekor.org.ua, domashnie-sekrety.ru, domophone.in.ua, dolmetscher.in.ua, dreval.ru, alfaserv.com.ua, bioil.ua, baobablife.net, colorsoflife.com.ua, ladyphone.ru, pontaradi.ru, accdent.com.ua, aastra.com.ua, kvorum.com.ua, smartmobile.com.ua, konspekt.pp.ua, ktrube.com.ua, kursach.in.ua, filemaker.com.ua, hansatoy.com.ua, kharchenko.com.ua, in-ua.com, infoplace.com.ua, apkfoto.com, blog.in-ua.com, www.gans-auto.com, www.mshop.com.ua, www.avtohifi.com, www.webison.org, modesa.com.ua, www.ratushniak.te.ua, modnyshka.org. Серед них український державний сайт naer.gov.ua.

З зазначених 57 сайтів 46 сайтів були взломані хакером FEnR, 4 сайти хакерами з goyhackers, 1 сайт хакерами з RBH-Crew, 1 сайт хакером Trojan511, 2 сайти хакером altbta, 1 сайт хакером federal-atack, 1 сайт хакерами з 1923Turk та 1 сайт хакером Fl0riX.

Якщо невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу можна сказати, що враховуючи дефейс 46 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://motormusic.kiev.ua - інфекція була виявлена 26.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://pankurchak.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://majorich.com - інфекція була виявлена 29.01.2012. Зараз сайт входить до переліку підозрілих.
• http://kidstaff.com.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://astermius.io.ua - інфекція була виявлена 24.12.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт astermius.io.ua також хостить в себе Укртелеком.

В жовтні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 15.10.2011-28.10.2011, а потім ще 28.01.2012. Третій масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох більших дефейсів та декількох невеликих дефейсів, відбувся під час завершення процесу масового взлому сайтів на сервері Service Online.

Всього було взломано 42 сайти на сервері хостера Besthosting (IP 194.28.172.69). Це наступні сайти: realgentlemenclub.com, lutskmap.com, mobilutsk.com, vyshyvanka.net, євро2012.net, sunduchek.com.ua, fortaleza.org.ua, autozona.te.ua, f5soft.com, bazaleto.com.ua, history.odessa.ua, izmail.net, katranka.com.ua, love-story.com.ua, masterklimat.com.ua, sokolov.odessa.ua, rentbike.odessa.ua, province.com.ua, premierhotel.com.ua, oweamuseum.odessa.ua, mozaika.ua, alyoshyn.com, dolonin.com, izmail.info, autosoundshop.ru, documentaryfilm.ru, gonkionline.ru, immigrationlaw.ru, komp.kharkov.ua, mathgames.ru, risuem.com.ua, slavikgerasimov.ru, sumka.co.ua, televisionline.ru, promix.lviv.ua, serebrova.com, altavent.com.ua, leontal.com.ua, rdc.org.ua, aerotec.com.ua, oblrada.sumy.ua, kalynivka-rda.gov.ua. Серед них українські державні сайти oblrada.sumy.ua і kalynivka-rda.gov.ua.

З зазначених 42 сайтів 40 сайтів були взломані хакерами з Cyber Warrior Invasion та 2 сайти хакером Dr-Angel.

Враховуючи те, що дефейс даних сайтів відбувся за п’ять заходів, в основному взламувалися невеликі групи сайтів (хоча в цілому Cyber Warrior Invasion взломала чимало сайтів), маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dizklz-lviv.gov.ua (хакером Z4R4THUSTR4) - 30.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://mr.gov.ua (хакером Over-X) - 02.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://eng.ukurier.gov.ua (хакером Lekosta) - 13.11.2011 - взломаний державний сайт, зараз сайт не працює (немає контенту)
• http://vichna-ukraina.org.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://сходница.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт не працює

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fp.ua - інфекція була виявлена 18.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://studia.at.ua - інфекція була виявлена 14.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://vse-futbolki.pp.ua - інфекція була виявлена 12.12.2011. Зараз сайт входить до переліку підозрілих.
• http://onua.com.ua - інфекція була виявлена 20.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://fundmarket.ua - інфекція була виявлена 23.11.2011. Зараз сайт не входить до переліку підозрілих.

На цьому тижні прокотилася хвиля DDoS атак на gov.ua сайти, про що повідомило багато україньских онлайнових ЗМІ. На одні сайти атака тривала протягом кількох діб, на інші лише протягом кількох годин. Деякі з цих атак я застав і сам, зокрема на сайт МВС.

Дані DDoS атаки на україньські державні сайти пов’язуються з закриттям файлообмінника ex.ua, що мав місце у вівторок. Представники державних органів вважають це “актом помсти” за закриття файлообмінника. Після атаки на сайти МВС та Президента, також були атаковані сайти СБУ, Кабінету Міністрів, Податкової адміністрації, Партії Регіонів та НБУ.

Всього були проведенні DDoS атаки на наступні сайти:

• mvs.gov.ua - 31.01.2012
• president.gov.ua - 01.02.2012
• sbu.gov.ua - 01.02.2012
• kmu.gov.ua - 01.02.2012
• www.sta.gov.ua - 01.02.2012
• www.partyofregions.org.ua - 01.02.2012
• bank.gov.ua - 02.02.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uaan.gov.ua (хакерами з Ashiyane Digital Security Team) - 08.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.apb.mns.gov.ua (хакером k4L0ng666) - 22.10.2011 - взломаний державний сайт, на сайті все ще розміщений html файл хакера
• http://fish.com.ua (хакером isyanqar musqaral1)
• http://festival-shopping.com (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://www.holocaust-odessa.org (хакером Hmei7) - 12.10.2011, на сайті все ще розміщений файл хакера

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 03.01.2012. Зараз сайт входить до переліку підозрілих.
• http://poleznoe-40s.ucoz.ua - інфекція була виявлена 10.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://digitallworld.com.ua - інфекція була виявлена 30.01.2012. Зараз сайт входить до переліку підозрілих.
• http://ppi.pp.ua - інфекція була виявлена 24.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://x3mal.com.ua - інфекція була виявлена 11.12.2011. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://genich-rada.gov.ua (хакером Dr-Angel) - 12.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vip.bereg-rda.gov.ua (хакером MCA-CRB) - 18.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://cartoy.com.ua (хакером Dr-Angel) - 12.10.2011, зараз сайт вже виправлений адмінами
• http://www.aertecnica.com.ua (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://hotelgloria.com.ua (хакерами Nasper H4CK і scHool) - 05.01.2012, зараз сайт вже виправлений адмінами