Websecurity - Веб безпека

В травні, 17.05.2011 і 21.05.2011, відбувся масовий взлом сайтів на сервері Uplink. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Uplink. Взлом відбувся після згаданого масового взлому сайтів на сервері Візор.

Всього було взломано 107 сайтів на сервері української компанії Uplink (IP 195.3.204.194). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт medstat.gov.ua.

106 зазначених сайтів були взломані 17 травня 2011 року - 105 хакером Brunei і 1 хакером iskorpitx. Іще один сайт був дефейснутий 21 травня хакером Executive.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.na-dosuge.net (хакером COde InjectOr) - 31.05.2011, зараз сайт вже виправлений адмінами
• http://www.socinform.vn.ua (хакером HEXB00T3R) - 09.06.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://cms.orbk.net (хакером WolfRom)
• http://megastroy-ltd.com (хакерами з Prishtina Hackers Group) - 23.05.2011, зараз сайт вже виправлений адмінами
• http://pisateli.co.ua (хакером F!k0s) - 13.06.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://catalog.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://rivneinfo.com - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 13.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://zhurnaly.org.ua - інфекція була виявлена 28.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://sabana.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mz-ark.gov.ua (хакерами з AHG) - 19.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.leecooper.com.ua (хакерами netKILLER і MX55) - взломаний форум сайта
• http://www.mariupolsapr.4ertim.com (хакером FormatXFormaT)
• http://www.bayel.com.ua (хакери Shavzy і SteersMan) - 11.05.2011, а до цього сайт був взломаний блексеошніками, зараз сайт не працює (немає контенту)
• http://yunona-tom.com (хакером Dr_Sm0k3r) - 01.06.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 09.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://all-biz.info - інфекція була виявлена 02.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://scania.dp.ua (хакерами з RKH) - 15.05.2011, зараз сайт вже виправлений адмінами
• http://poligraf-agenstvo.net.ua (хакерами з RKH) - 16.05.2011, зараз сайт вже виправлений адмінами
• http://dom-ivanov.at.ua (хакером BACKDOOR)
• http://www.firstline.com.ua (хакером TekZ)
• http://www.skorostroy.com.ua (хакером C37HUN)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://terra-tv.com.ua - інфекція була виявлена 21.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://esco.co.ua - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://vrazrabotke.com.ua - інфекція була виявлена 29.05.2011. Зараз сайт входить до переліку підозрілих.
• http://viking.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://teplo-service.com - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих. Це так Гугл заявляє, а насправді чимало сторінок сайта все ще мають шкідливий код (як я перевірив) - це часто з Гуглом трапляється, коли він завляє, що сайт не інфікований, коли ще не зі всіх сторінок сайта прибраний шкідливий код.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://antonsablev.com (хакером INNOCENT HACKER з Afghan Exploiters Team) - 21.05.2011, зараз сайт вже виправлений адмінами
• http://aquatika.com.ua (хакером eL-CeWaD)
• http://www.ecodah.com.ua (хакером aGa Hackers) - 13.05.2011, причому окрім aGa Hackers даний сайт нещодавно також був взломаний хакерами HoaX Trojan і OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний :N0FAC3. Торік www.ecodah.com.ua вже був неодноразово взломаний. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dorogy.com.ua (хакером INNOCENT HACKER)
• http://www.ukrtransport.com (хакерами з EliTTe SquaD)

На початку травня, 03-04.05.2011, відбувся новий масовий взлом сайтів на сервері Hvosting. Перший масовий взлом сайтів на сервері Hvosting вібдувася в січні.

Був взломаний сервер української компанії Hvosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Tavrida Network.

Всього було взломано 23 сайти на сервері Hvosting (IP 91.200.40.52). Це наступні сайти: ukraids.gov.ua, new.comrad.net.ua, khortytsalife.com, uca.zp.ua, tattoo.zp.ua, reabilitolog.com.ua, www.novsemena.zp.ua, matras.zp.ua, map.khortytsalife.com, ligasockiev.org.ua, ligasocial.org.ua, kvest.zp.ua, iok.zp.ua, grandmax.zp.ua, elos.zp.ua, elit-mebel.zp.ua, comrad.zp.ua, caffenitea.com.ua, baida.zp.ua, www.autoshrot.zp.ua, artremstroy.com.ua, alexandria-f.com.ua, www.estil.com.ua. Серед них український державний сайт ukraids.gov.ua.

З зазначених сайтів 1 був взломаний 3 травня 2011 року хакером iskorpitx, а 22 сайти були взломані 4 травня 2011 року хакером S3Ri0uS.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://honeycomb.dp.ua - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://skolmo.com.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://5fg4.pp.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://autoimport.dn.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://m-court.od.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.