Архів для категорії 'Дослідження'

Похакані сайти №167

19:22 28.10.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://soundbass.if.ua (хакерами з TeaM MosTa Dz HacKeR) - 10.2011, зараз сайт вже виправлений адмінами
  • http://lyubystok.org (хакером EjRaM_KSA) - 10.2011, зараз сайт не працює (видає 403-ю помилку)
  • http://humanities.lviv.ua (хакером AL3X 0WN5)
  • http://stroitel.nikopol.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - причому спочатку сайт 15.10.2011 був взломаний OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний PRIZREN X-PERSON HACKERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.pro-donetsk.dn.ua (хакером TekZ)

Інфіковані сайти №99

22:47 26.10.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://nanoavto.com.ua - інфекція була виявлена 15.10.2011. Зараз сайт входить до переліку підозрілих.
  • http://dremel.com.ua - інфекція була виявлена 01.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://gourelax.at.ua - інфекція була виявлена 08.10.2011. Зараз сайт входить до переліку підозрілих.
  • http://kpi.ua - інфекція була виявлена 25.10.2011. Зараз сайт не входить до переліку підозрілих.
  • http://sporttime.com.ua - інфекція була виявлена 10.10.2011. Зараз сайт не входить до переліку підозрілих.

Про уразливості на kpi.ua з Друпалом-дирупалом я вже писав раніше. Тому не дивує наявність шкідливого ПЗ на їх сайті.

Похакані сайти №166

22:46 19.10.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.pasichnyk.dp.ua (хакерами з RKH) - 29.07.2011, зараз сайт вже виправлений адмінами
  • http://avtotreks.pp.ua (хакерами з EliTTe SquaD)
  • http://demo.joomla.org.ua (хакером th3p0w3r)
  • http://ups-store.com.ua (хакером jago-dz) - 10.09.2011, зараз сайт не працює (закритий хостером)
  • http://shop.vibroseparator.ua (хакером HEXB00T3R)

Інфіковані сайти №98

22:49 17.10.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://filmx.com.ua - інфекція була виявлена 23.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://zarabotokplus.com.ua - інфекція була виявлена 16.09.2011. Зараз сайт не входить до переліку підозрілих.
  • http://radiomaster.com.ua - інфекція була виявлена 28.09.2011. Зараз сайт не входить до переліку підозрілих.
  • http://moloduha.at.ua - інфекція була виявлена 22.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://tessera.com.ua - інфекція була виявлена 05.09.2011. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №165

22:43 13.10.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011, зараз на сайті немає контенту
  • http://chajka.kiev.ua (хакером Serberus)
  • http://www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011, зараз сайт вже виправлений адмінами
  • http://megasiti.com.ua (хакером ho1onk) - 22.09.2011, зараз сайт вже виправлений адмінами.
  • http://office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

Другий масовий взлом сайтів на сервері Besthosting

22:42 12.10.2011

В літку, 22.07.2011, 18.08.2011 і 20.08.2011, відбувся новий масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи. Перший масовий взлом сайтів на сервері Besthosting відбувся минулого року.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з трьох взломів (два по одному сайту і один масовий взлом), зокрема другий і третій, відбувся після згаданого масового взлому сайтів на сервері 1GB LLC.

Всього було взломано 38 сайтів на сервері української компанії Besthosting (IP 195.248.234.34). Це наступні сайти: genux.ru, truck-expert.net, glavuks.gov.ua, vladimirsemenov.ru, allshrift.ru, borisinfo.net, alex-gk.vn.ua, eo15pwc.borisinfo.net, urpsobor.borisinfo.net, us1pm.borisinfo.net, us1pm.com, blog.fridin.com, sim-arenda.com, annluc.com, svadbacar.com, w.ihorus.com, ihorus.com, koftyann.com, maklakov.name, ukrdance.com.ua, allmyfilm.ru, vigor.od.ua, blog.genux.ru, gnatenko.info, bbstar.in.ua, www.elit-class.com.ua, avtonews.com.ua, www.villagavan.com, options-trader.ru, paklet.ru, mycarnews.ru, www.logicaster.com, mlove.com.ua, lancerx.net, respublica.in.ua, tdsvitlo.com.ua, trd.dp.ua, scan-tools.net. Серед них український державний сайт glavuks.gov.ua.

36 зазначених сайтів були взломані хакером H3rcule-32, 1 сайт хакером thecybernuxbie і 1 сайт хакером n93n93k.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (зокрема у випадку атаки H3rcule-32). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Інфіковані сайти №97

21:01 10.10.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://cinemanet.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
  • http://jasmin.biz.ua - інфекція була виявлена 26.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://animeshka.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
  • http://fckrono-karpatu.com.ua - інфекція була виявлена 24.07.2011. Зараз сайт не входить до переліку підозрілих.
  • http://stabilizator.com.ua - інфекція була виявлена 07.10.2011. Зараз сайт входить до переліку підозрілих.

Інфіковані хостери в 1 півріччі 2011 року

22:45 08.10.2011

В підсумках хакерської активності в Уанеті в 1 півріччі 2011 я зазначав, що всього за цей період я виявив 129 інфікованих сайтів в Уанеті. Дані сайти хостилися на серверах різних хостінг провайдерів, як українських, так і закордонних.

Пропоную вам звіт про результати мого дослідження хостінгів, які розміщували інфіковані сайти в першому півріччі 2011 року. Багато з цих хостінг провайдерів робили це і минулого року. Щоб і хостери і Інтернет користувачі знали найбільших розповсюджувачів шкідливого програмного забезпечення (через інфіковані сайти).

В першому півріччі цього року наступні хостінг провайдери розміщували на своїх серверах інфіковані сайти: 1GB LLC, AGORA, ALBAINTERNET, ALGATA, ALKAR, APEXNCC, AZAR, Adamant, BGNET, Besthosting, Colocall, Compubyte Limited, DATASVIT, DORIS, Delta-X, FAUST, Freehost, Hetzner, HostPro, INLINE, ITLAS, InformService, KMU, MACHOSTER Internet Hosting Provider, MHost, MNS, Masterhost, MiroHost, Network Operations Center, PAVLABOR, ProstoHosting, RENOME, SMARTYMEDIA, Taras Shevchenko University of Kyiv, The Planet, UAIPT, UARNet, Ukrainian Internet Names Center, VEGA, VOLZ, Volia, Webalta, Wnet, hostia28, Візор, Мета, Укртелеком, Яндекс.

Найбільші інфіковані хостери (TOP-10):

  1. HostPro - 13 сайтів
  2. Compubyte Limited - 11 сайтів
  3. Colocall - 10 сайтів
  4. Freehost - 7 сайтів
  5. Volia - 7 сайтів
  6. Укртелеком - 5 сайтів
  7. Webalta - 5 сайтів
  8. UARNet - 5 сайтів
  9. Adamant - 5 сайтів
  10. MiroHost - 5 сайтів

Всього було виявлено хостінги 121 сайта з 129. У випадку інших 8 сайтів визначити хостінги не вдалося, тому що в даний момент ці сайти вже не працювали (вони явно були закриті через розміщення malware на цих ресурсах).

Похакані сайти №164

22:41 06.10.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://dolphin.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
  • http://burmistr.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
  • http://alyshta.net (хакерами з RKH) - 24.07.2011, зараз сайт вже виправлений адмінами
  • http://rotaract.com.ua (хакерами з Tema Own3d Q8)
  • http://www.cpc-ua.org (хакером XUGURX) - 29.09.2011, зараз сайт не працює

Інфіковані сайти №96

22:46 04.10.2011

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://usta.rcf.crimea.ua - інфекція була виявлена 25.09.2011. Зараз сайт входить до переліку підозрілих.
  • http://samsebelekar.at.ua - інфекція була виявлена 29.07.2011. Зараз сайт не входить до переліку підозрілих.
  • http://golden-brig.org.ua - інфекція була виявлена 27.09.2011. Зараз сайт входить до переліку підозрілих.
  • http://apostille-perevod.com.ua - інфекція була виявлена 21.08.2011. Зараз сайт не входить до переліку підозрілих.
  • http://gribok.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.