Архів для категорії 'Дослідження'

Похакані сайти №181

22:47 08.03.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://crimea.dzk.gov.ua (хакером CyberMind) - 01.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://brda.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://www.bc-mvs.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://extracomp.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
  • http://torgsnab.net (хакером iskorpitx) - 12.08.2011, зараз сайт вже виправлений адмінами

Інфіковані сайти №113

23:57 07.03.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://ex-ua.net.ua - інфекція була виявлена 07.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://anko.com.ua - інфекція була виявлена 10.02.2012. Зараз сайт входить до переліку підозрілих.
  • http://orthodox.uz.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://wol.org.ua - інфекція була виявлена 28.02.2012. Зараз сайт входить до переліку підозрілих.
  • http://webhosting.com.ua - інфекція була виявлена 06.03.2012. Зараз сайт не входить до переліку підозрілих.

DDoS атаки на українські сайти

22:49 07.03.2012

Після численних DDoS атак на gov.ua сайти, у лютому в Уанеті знову були проведені масові DDoS атаки. Цього разу вони були направлені не на владні ресурси, а на ішні сайти.

Як повідомили мені минулого місяця (шляхом спаму) представники IPU, у лютому були проведені DDoS атаки на ряд сайтів пов’язаних з Дмитром Голубовим, засновником Інтернет Партії України (IPU). Були атаковані сайти інтернет-видань lb.ua і dumskaya.net, на яких розміщувалися блоги Дмитра Голубова, а також сайт Інтернет Партії України та сайт реєстратора домена www.ipu.com.ua компанії NIC.UA.

Всього були проведенні DDoS атаки на наступні сайти:

  • lb.ua - 17.02.2012
  • dumskaya.net - 18.02.2012
  • nic.ua - 18.02-21.02.2012
  • www.ipu.com.ua - 21.02.2012

Похакані сайти №180

22:41 24.02.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://starasinyava-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 01.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://mriya.pz.gov.ua (хакерами з Turkish Energy Team) - 28.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://borispol-rada.gov.ua (хакерами з Ashiyane Digital Security Team) - 25.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://natorg.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
  • http://metro-media.com.ua (хакерами Margu і BlueHackerTR) - 30.01.2012, зараз сайт не працює (відключений провайдером через його взлом)

Третій масовий взлом сайтів на сервері Freehost

22:46 23.02.2012

В період 20.07.2011-24.07.2011, 01.11.2011-07.11.2011, 16.11.2011-20.11.2011 і 25.12.2011, відбувся новий масовий взлом сайтів на сервері Freehost. Другий масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом, що складався з двох великих взломів та п’яти окремих взломів по одному сайту, відбувся після згаданого масового взлому сайтів на сервері HostPro.

Всього було взломано 261 сайт на сервері української компанії Freehost (IP 178.20.153.6). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти www.arhioda.gov.ua, www.mykcustoms.gov.ua, www.city-izyum.gov.ua.

З зазначеного 261 сайту 105 сайтів були взломані хакерами DAVACI та SLYHACKER, 152 сайтів хакером J0K3R R3TURN, 1 сайт хакерами з 1923Turk, 1 сайт хакером sLizer, 1 сайт хакером iskorpitx та 1 сайт хакером FEnR.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (за виключенням окремих одиночних взломів сайтів). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Інфіковані сайти №112

22:47 22.02.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://rhemachurch.dn.ua - інфекція була виявлена 11.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://mebelrim.in.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://market-ua.org.ua - інфекція була виявлена 22.12.2011. Зараз сайт входить до переліку підозрілих.
  • http://uraking.at.ua - інфекція була виявлена 30.12.2011. Зараз сайт не входить до переліку підозрілих.
  • http://nau.edu.ua - інфекція була виявлена 13.02.2012. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №179

22:41 17.02.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.dnipr.gov.ua (хакером dencowbie) - 15.11.2011 - взломаний державний сайт, на сайті все ще розміщений txt файл хакера
  • http://www.clinic-1.gov.ua (хакерами з Red Eye Crew) - 23.11.2011 - взломаний державний сайт, зараз сайт не працює
  • http://voronizh-rada.gov.ua (хакерами з Afghan Exploiters Team) - 24.11.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
  • http://torgsnab.net (хакером iskorpitx) - 12.08.2011, зараз сайт вже виправлений адмінами
  • http://www.volkswagen.lg.ua (хакерами з TeaM MosTa Dz Hacker) - 12.02.2012, зараз сайт вже виправлений адмінами

Шостий масовий взлом сайтів на сервері HostPro

23:59 16.02.2012

В жовтні відбувся новий масовий взлом сайтів на сервері HostPro. Він тривав на протязі 2009 - 2011 років: 18.12.2009, 05.03.2010-26.11.2010 та 23.10.2011. П’ятий масовий взлом сайтів на сервері HostPro відбувся раніше.

Був взломаний сервер української компанії HostPro. Взлом складався з одного масового дефейса (46 сайтів в 2011 році) та декількох невеликих дефейсів по одному або декілька сайтів (в попередні роки).

Всього було взломано 57 сайтів на сервері хостера HostPro (IP 193.169.189.62). Це наступні сайти: vipcat.net, vicatto.pp.ua, valeryshcherytsa.com, terapia.kiev.ua, stelki.in.ua, status-studfarm.com, thespacecakes.com, machocondoms.com.ua, mikadocondoms.com, ozon.com.ua, ozonsafety.com, ukr.ozon.com.ua, shkid.com.ua, promo-sumki.com.ua, tehnadzor.zp.ua, nasutki.zp.ua, midas-bud.com.ua, mariupolonline.com, nasutki.org.ua, sinklit.com.ua, samson-rem.com.ua, mishutkinclub.com.ua, naer.gov.ua, masenko.com.ua, macservice.com.ua, asdekor.org.ua, domashnie-sekrety.ru, domophone.in.ua, dolmetscher.in.ua, dreval.ru, alfaserv.com.ua, bioil.ua, baobablife.net, colorsoflife.com.ua, ladyphone.ru, pontaradi.ru, accdent.com.ua, aastra.com.ua, kvorum.com.ua, smartmobile.com.ua, konspekt.pp.ua, ktrube.com.ua, kursach.in.ua, filemaker.com.ua, hansatoy.com.ua, kharchenko.com.ua, in-ua.com, infoplace.com.ua, apkfoto.com, blog.in-ua.com, www.gans-auto.com, www.mshop.com.ua, www.avtohifi.com, www.webison.org, modesa.com.ua, www.ratushniak.te.ua, modnyshka.org. Серед них український державний сайт naer.gov.ua.

З зазначених 57 сайтів 46 сайтів були взломані хакером FEnR, 4 сайти хакерами з goyhackers, 1 сайт хакерами з RBH-Crew, 1 сайт хакером Trojan511, 2 сайти хакером altbta, 1 сайт хакером federal-atack, 1 сайт хакерами з 1923Turk та 1 сайт хакером Fl0riX.

Якщо невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів, то стосовно одного великого дефейсу можна сказати, що враховуючи дефейс 46 сайтів за один день, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері. Або через використання уразливостей на сервері для доступу до інших сайтів.

Інфіковані сайти №111

23:54 15.02.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://motormusic.kiev.ua - інфекція була виявлена 26.11.2011. Зараз сайт не входить до переліку підозрілих.
  • http://pankurchak.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://majorich.com - інфекція була виявлена 29.01.2012. Зараз сайт входить до переліку підозрілих.
  • http://kidstaff.com.ua - інфекція була виявлена 09.02.2012. Зараз сайт не входить до переліку підозрілих.
  • http://astermius.io.ua - інфекція була виявлена 24.12.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт astermius.io.ua також хостить в себе Укртелеком.

Четвертий масовий взлом сайтів на сервері Besthosting

23:55 11.02.2012

В жовтні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 15.10.2011-28.10.2011, а потім ще 28.01.2012. Третій масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох більших дефейсів та декількох невеликих дефейсів, відбувся під час завершення процесу масового взлому сайтів на сервері Service Online.

Всього було взломано 42 сайти на сервері хостера Besthosting (IP 194.28.172.69). Це наступні сайти: realgentlemenclub.com, lutskmap.com, mobilutsk.com, vyshyvanka.net, євро2012.net, sunduchek.com.ua, fortaleza.org.ua, autozona.te.ua, f5soft.com, bazaleto.com.ua, history.odessa.ua, izmail.net, katranka.com.ua, love-story.com.ua, masterklimat.com.ua, sokolov.odessa.ua, rentbike.odessa.ua, province.com.ua, premierhotel.com.ua, oweamuseum.odessa.ua, mozaika.ua, alyoshyn.com, dolonin.com, izmail.info, autosoundshop.ru, documentaryfilm.ru, gonkionline.ru, immigrationlaw.ru, komp.kharkov.ua, mathgames.ru, risuem.com.ua, slavikgerasimov.ru, sumka.co.ua, televisionline.ru, promix.lviv.ua, serebrova.com, altavent.com.ua, leontal.com.ua, rdc.org.ua, aerotec.com.ua, oblrada.sumy.ua, kalynivka-rda.gov.ua. Серед них українські державні сайти oblrada.sumy.ua і kalynivka-rda.gov.ua.

З зазначених 42 сайтів 40 сайтів були взломані хакерами з Cyber Warrior Invasion та 2 сайти хакером Dr-Angel.

Враховуючи те, що дефейс даних сайтів відбувся за п’ять заходів, в основному взламувалися невеликі групи сайтів (хоча в цілому Cyber Warrior Invasion взломала чимало сайтів), маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).