Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tai.net.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ikaife.at.ua - інфекція була виявлена 01.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://giper-files.at.ua - інфекція була виявлена 16.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://private-design.com.ua - інфекція була виявлена 05.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://porogy.zp.ua - інфекція була виявлена 30.04.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт porogy.zp.ua також хостить в себе Укртелеком.

В своєму звіті The State of Badware (June 2011), організація StopBadware розповідає про ситуацію з шкідливим програмним забезпеченням в поточному році (за станом на червень 2011). Описуєтья поточний стан та причини існуючої ситуації зі шкідливими ПЗ в Інтернеті.

Даний звіт складається за наступних розділів, де розглянуті різні аспекти даної проблеми:

• Introduction
• Measuring Badware
• Why are things in this state
• Ecosystem Responses
• Conclusion

Зазначу, що в травні я виступав на конференції з доповіддю про системи виявлення інфікованих веб сайтів. В якій я торкався теми поточного стану інфікованності сайтів в Уанеті та Інтернеті.

Нещодавно, 09-11.07.2011, відбувся новий масовий взлом сайтів на сервері HostPro (а один сайт ще 04.03.2011). Перший масовий взлом сайтів на сервері HostPro відбувся в січні.

Був взломаний сервер української компанії HostPro. Взлом відбувся після згаданого масового взлому сайтів на сервері Virtes.

Всього був взломаний 21 сайт на сервері хостера HostPro (IP 80.91.191.125). Це наступні сайти: www.get-viza.com.ua, www.3atoka.com, amberlife.com.ua, www.spani.biz, www.nicolekids.com.ua, www.ozdorovis.com, rpb.org.ua, allodessa.com, progon.od.ua, ukrsepro.in.ua, krcc.com.ua, kosmetik-express.biz, 00008.info, fitopiramida.com, touchgadget.ru, allodessa.com.ua, www.salsa.mk.ua, psovajaohota.com, www.romashka.net.ua, www.apple2.ru, finpravda.com.ua.

З зазначених сайтів 20 було взломано на протязі 9-11 липня 2011 року хакерами з RKH, а 1 сайт був взломаний 04.03.2011 хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stelya.zt.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://sev-tiande.com.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://whitehorse.net.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://bonavi.ck.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 04.07.2011, зараз сайт вже виправлений адмінами
• http://bogolife.at.ua (хакером TH3_H4TTAB)

В травні, 17.05.2011 і 18.05.2011, відбувся масовий взлом сайтів на сервері Virtes. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Virtes. Взлом відбувся після згаданого масового взлому сайтів на сервері Uplink.

Всього було взломано 26 сайтів на сервері хостера Virtes (IP 91.195.214.134). Це наступні сайти: kancler.kiev.ua, urposlugi.com.ua, ibis.kiev.ua, oaza.kiev.ua, marilyn-kiev.pp.ua, golden-hands.kiev.ua, cortec.com.ua, advokat-olv.kiev.ua, ucom.co.ua, s-optica.com.ua, wes-t.com.ua, bosfor-kiev.com.ua, marriagebreeze.com, florika.kiev.ua, gastronomia-grup.com, lombard-kiev.com, www.visnuk.gov.ua, marilyn.kiev.ua, kolesoistorii.com.ua, huntinggild.com.ua, starname.kiev.ua, bor.kiev.ua, spain-gastronom.com, milos.kiev.ua, master-sauna.kiev.ua, babyshopping.kiev.ua. Серед них український державний сайт www.visnuk.gov.ua.

Зазначені сайти були взломані 17 і 18 травня 2011 року хакером iskorpitx (1 сайт) і хакерами з 1923Turk-Grup (25 сайтів).

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://galait.dp.ua - інфекція була виявлена 25.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uafilters.com.ua - інфекція була виявлена 11.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://nom.pl.ua - інфекція була виявлена 27.06.2011. Зараз сайт входить до переліку підозрілих.
• http://monolitgroup.com.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://zarabotoc.at.ua - інфекція була виявлена 17.06.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт nom.pl.ua також хостить в себе Укртелеком.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.mastergood.com.ua (хакерами з RKH) - 08.06.2011, зараз сайт вже виправлений адмінами
• http://spider.mastergood.com.ua (хакерами з RKH) - 08.06.2011 - зараз сайт не працює (немає контенту)
• http://tuning-club.lviv.ua (хакером PaRaNoYa)
• http://novosvit.com (хакером B.Y) - 23.06.2011, був взломаний форум проекту, що зараз вже виправлений адмінами
• http://advertise-autoweb.info (хакером Mr.VeNuS)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://me.gov.ua - інфікований державний сайт, інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://abrasiva.net - інфекція була виявлена 25.06.2011. Зараз сайт входить до переліку підозрілих.
• http://askei.kiev.ua - інфекція була виявлена 26.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://nateparty.kiev.ua - інфекція була виявлена 18.06.2011. Зараз сайт входить до переліку підозрілих.
• http://bigudi.ua - інфекція була виявлена 22.05.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://julietta.com.ua (хакером c1nexe)
• http://www.blinoff.ua (хакерами з RKH) - 08.06.2011, зараз сайт вже виправлений адмінами
• http://www.gagri.com.ua (хакерами з RKH) - 08.06.2011, зараз сайт вже виправлений адмінами
• http://www.nhl.kiev.ua (хакерами з RKH) - 08.06.2011, зараз сайт не працює
• http://www.diagnostika.net.ua (хакером MaMaLi MeSsenGer)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mns.gov.ua - інфікований державний сайт, інфекція була виявлена 10.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://ezoloto.com.ua - інфекція була виявлена 13.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://aprel.blox.ua - інфекція була виявлена 12.06.2011. Зараз сайт входить до переліку підозрілих.
• http://archive.org.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://sova.com.ua - інфекція була виявлена 04.06.2011. Зараз сайт не входить до переліку підозрілих.