Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dgor.dp.ua - інфекція була виявлена 07.11.2011. Зараз сайт входить до переліку підозрілих.
• http://avtovid.com.ua - інфекція була виявлена 17.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://kityn.kiev.ua - інфекція була виявлена 14.11.2011. Зараз сайт входить до переліку підозрілих.
• http://link.ua - інфекція була виявлена 10.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://welltour.kiev.ua - інфекція була виявлена 23.10.2011. Зараз сайт не входить до переліку підозрілих.

Нещодавно відбувся новий масовий взлом сайтів (останній інцидент) на сервері HostPro. Він тривав на протязі 2009 - 2011 років: в періоди 21.08.2009 - 17.12.2009, 16.05.2010 - 07.12.2010 та 11.03.2011 - 08.10.2011. Третій масовий взлом сайтів на сервері HostPro відбувся у липні.

Був взломаний сервер української компанії HostPro. Взлом складався з серії невеликих дефейсів (декількох по одному сайту та одного разу 4 сайтів) та двох масових дефейсів (21 та 22 сайти).

Всього було взломано 53 сайти на сервері хостера HostPro (IP 77.222.131.80). Це наступні сайти: www.idportal.org, www.zooritual.com.ua, www.energosouz.com, www.khpzida.com, www.stelmashow.in.ua, vvplawfirm.com, www.vvplawfirm.net, www.vvplawfirm.org, www.vvplawfirm.com.ua, www.vvplawfirm.kiev.ua, www.vvplawfirm.net.ua, pometki.com.ua, www.pometki.com, www.photocore.com.ua, www.urp.in.ua, www.tradesoft.com.ua, www.avramenko.org, www.avramenko.biz, fishka-plus.com.ua, www.krisha.net.ua, www.deeptown.kiev.ua, www.vesgroup.kiev.ua, www.vesgroup.com.ua, kyigrandtour.com, vipit.org.ua, inapple.org.ua, grem.kiev.ua, lexaudit.com, tl.com.ua, beautyshar.com.ua, www.aviaservis.com.ua, bestphoto.com.ua, dicei.org.ua, arhimas.com, all-rodyna.com.ua, kyudo.org.ua, barraban.com.ua, www.yavir.org.ua, www.dr-petrunin.org.ua, postroyportal.ru, www.upyrka.ru, agileee.org, agileee.com, www.grifin.org.ua, otva.org.ua, betv.com.ua, redline.org.ua, bagua.inf.ua, masha-sokol.ru, csep.org.ua.

З зазначених 53 сайтів 1 був взломаний хакером Opsisrael, 22 сайти хакерами з RKH, 1 сайт хакером iskorpitx, 1 сайт хакером limihack, 1 сайт хакером Metropolis, 1 сайт хакером SNiPeR HB, 1 сайт хакером SauDi ViRuS TeaM, 21 сайт хакерами з Azerbaijan Attacker та 1 сайт хакером Nicky Mc.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі трьох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа). Зокрема є декілька груп сайтів, які явно знаходяться в одному акаунті, тому кожна з цих груп сайтів могла бути дефейснута лише через взлом одного сайта в акаунті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://corsars.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://repin.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.unionavto.mk.ua (хакером iskorpitx) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.uyuta.net (bembenk spelenk)
• http://www.nescafe.ua (хакерами з Jordanian Cyber Army) - 27.10.2011, зараз сайт вже виправлений адмінами.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://royalhouse.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tekh.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tehno-market.cn.ua - інфекція була виявлена 17.10.2011. Зараз сайт входить до переліку підозрілих.
• http://hot-girls.kiev.ua - інфекція була виявлена 28.10.2011. Зараз сайт не входить до переліку підозрілих. Як зазначає Гугл, при тому, що на сайті все ще є інфіковані сторінки.
• http://touch-if.pp.ua - інфекція була виявлена 08.08.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://soundbass.if.ua (хакерами з TeaM MosTa Dz HacKeR) - 10.2011, зараз сайт вже виправлений адмінами
• http://lyubystok.org (хакером EjRaM_KSA) - 10.2011, зараз сайт не працює (видає 403-ю помилку)
• http://humanities.lviv.ua (хакером AL3X 0WN5)
• http://stroitel.nikopol.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - причому спочатку сайт 15.10.2011 був взломаний OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний PRIZREN X-PERSON HACKERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.pro-donetsk.dn.ua (хакером TekZ)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nanoavto.com.ua - інфекція була виявлена 15.10.2011. Зараз сайт входить до переліку підозрілих.
• http://dremel.com.ua - інфекція була виявлена 01.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gourelax.at.ua - інфекція була виявлена 08.10.2011. Зараз сайт входить до переліку підозрілих.
• http://kpi.ua - інфекція була виявлена 25.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://sporttime.com.ua - інфекція була виявлена 10.10.2011. Зараз сайт не входить до переліку підозрілих.

Про уразливості на kpi.ua з Друпалом-дирупалом я вже писав раніше. Тому не дивує наявність шкідливого ПЗ на їх сайті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.pasichnyk.dp.ua (хакерами з RKH) - 29.07.2011, зараз сайт вже виправлений адмінами
• http://avtotreks.pp.ua (хакерами з EliTTe SquaD)
• http://demo.joomla.org.ua (хакером th3p0w3r)
• http://ups-store.com.ua (хакером jago-dz) - 10.09.2011, зараз сайт не працює (закритий хостером)
• http://shop.vibroseparator.ua (хакером HEXB00T3R)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://filmx.com.ua - інфекція була виявлена 23.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://zarabotokplus.com.ua - інфекція була виявлена 16.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://radiomaster.com.ua - інфекція була виявлена 28.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://moloduha.at.ua - інфекція була виявлена 22.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tessera.com.ua - інфекція була виявлена 05.09.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011, зараз на сайті немає контенту
• http://chajka.kiev.ua (хакером Serberus)
• http://www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011, зараз сайт вже виправлений адмінами
• http://megasiti.com.ua (хакером ho1onk) - 22.09.2011, зараз сайт вже виправлений адмінами.
• http://office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

В літку, 22.07.2011, 18.08.2011 і 20.08.2011, відбувся новий масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи. Перший масовий взлом сайтів на сервері Besthosting відбувся минулого року.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з трьох взломів (два по одному сайту і один масовий взлом), зокрема другий і третій, відбувся після згаданого масового взлому сайтів на сервері 1GB LLC.

Всього було взломано 38 сайтів на сервері української компанії Besthosting (IP 195.248.234.34). Це наступні сайти: genux.ru, truck-expert.net, glavuks.gov.ua, vladimirsemenov.ru, allshrift.ru, borisinfo.net, alex-gk.vn.ua, eo15pwc.borisinfo.net, urpsobor.borisinfo.net, us1pm.borisinfo.net, us1pm.com, blog.fridin.com, sim-arenda.com, annluc.com, svadbacar.com, w.ihorus.com, ihorus.com, koftyann.com, maklakov.name, ukrdance.com.ua, allmyfilm.ru, vigor.od.ua, blog.genux.ru, gnatenko.info, bbstar.in.ua, www.elit-class.com.ua, avtonews.com.ua, www.villagavan.com, options-trader.ru, paklet.ru, mycarnews.ru, www.logicaster.com, mlove.com.ua, lancerx.net, respublica.in.ua, tdsvitlo.com.ua, trd.dp.ua, scan-tools.net. Серед них український державний сайт glavuks.gov.ua.

36 зазначених сайтів були взломані хакером H3rcule-32, 1 сайт хакером thecybernuxbie і 1 сайт хакером n93n93k.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (зокрема у випадку атаки H3rcule-32). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.