Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://search.com.ua - інфекція була виявлена 06.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://day-sity.ho.ua - інфекція була виявлена 26.03.2011. Зараз сайт входить до переліку підозрілих.
• http://kvn.odessa.ua - інфекція була виявлена 30.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://cinemanet.org.ua - інфекція була виявлена 29.03.2011. Зараз сайт входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 27.03.2011. Зараз сайт не входить до переліку підозрілих.

В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2010 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2010 по 30.06.2010, а в звіті Хакерська активність в Уанеті в 2 півріччі 2010 - дані за період з 01.07.2010 по 31.12.2010.

За весь 2010 рік в Уанеті була проведена 1554 атак на веб сайти - 155 за перше півріччя і 1399 за друге. Для порівняння, за весь 2009 рік було зафіксовано всього 273 атаки на веб сайти. І це тільки виявлені мною випадки, реальна кількість інцидентів може бути значно вищою. Як видно активність хакерів все більш помітна і вона продовжує щороку зростати.

Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2010 активність більша на 19% в порівнянні з аналогічним періодом 2009 року, а за друге півріччя 2010 - на 859% більше за аналогічний період 2009 року (і на 807% більше за перше півріччя 2010 року). А в цілому в 2010 році активність зросла на 462% порівняно з 2009 роком - зростання в 5,6 рази.

В 2010 році загалом було атаковано 1554 веб ресурсів (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. А також були інфіковані 264 сайти, які вірогідно були похакані в 2010 році (з 265 виявлених сайтів, один, businessgo.info, був інфікований двічі - в першій і в другій половині року).

Головні тенденції 2010 року в діяльності хакерів в Уанеті:

• Хакерська активність значно зросла - на 462% порівняно з 2009 роком (збільшення динаміки у 5,6 рази).
• Все більше сайтів в Уанеті заражуються вірусами: в 2009 я виявив 67 інфікованих сайтів, в 2010 - вже 264 сайтів (збільшення динаміки у 3,94 рази).
• Кількість DDoS атак на сайти більша ніж в 2009 році - 18 випадків DDoS атак за рік (зростання у 2,6 рази). Це 1,2% від всіх атак за 2010 рік.
• Атаковані 48 державних сайтів та інфіковано ще 13 gov.ua-сайтів.
• Зростання взломів державних сайтів в 2 рази та зростання інфікування gov.ua-сайтів в 2,6 рази порівняно з 2009 роком.

Збільшення заражених сайтів в Уанеті (в тому числі gov.ua-сайтів) свідчить про зростання кримінальних взломів сайтів.

Підсумовуючи скажу, що активність хакерів в минулому році значно зросла і вона продовжує зростати. І в 2011 році ця тенденція збережеться.

В новому році очікуйте на нові звіти про хакерську активність в Уанеті.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://britanka.com.ua (невідомим хакером) - 02.2011

Файли, що використовувалися для RFI атак:

http://britanka.com.ua/id1.txt - файл вже видалений з сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером kaMtiEz) - 21.03.2011 - взломаний державний сайт, веб сторінка хакерів все ще розміщена на сайті
• http://gamelenta.net (хакерами з RBH-CREW)
• http://newevpa.org (хакерами CWAttacker і Sancakbeyi)
• http://morozok.com.ua (хакером iskorpitx) - 21.03.2011, зараз сайт вже виправлений адмінами
• http://make2web.org.ua (хакером N3xtr0m1x) - 27.03.2011, зараз сайт вже виправлений адмінами

Минулої осені відбувся масовий взлом сайтів на сервері Укртелекому (в Utel DataCenter). На протязі жовтня-листопада, а також по одному сайту в червні, липні та грудні 2010 року. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Укртелеком. Взлом відбувся частково до, а частково після згаданого масового взлому сайтів на сервері Besthosting.

Всього було взломано 427 сайтів на сервері Укртелекому (IP 213.186.117.200). Перелік сайтів можете подивитися на www.zone-h.org. Серед них українські державні сайти ukrreftrans.gov.ua та www.kyivobljust.gov.ua.

Зазначені сайти були взломані в період з 16.06.2010 по 10.12.2010. Дефейси 427 сайтів проведено різними хакерами. Окрім цього було взломано 2 сайти в 2008 і 7 сайтів в 2009 роках (в сумі 436 сайтів).

Більшість сайтів була задефейсена під час декількох масових взломів. Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vis-games.com - інфекція була виявлена 08.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://strawbale.ho.ua - інфекція була виявлена 25.03.2011. Зараз сайт входить до переліку підозрілих.
• http://probux.ho.ua - інфекція була виявлена 10.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://programms.ho.ua - інфекція була виявлена 14.03.2011. Зараз сайт входить до переліку підозрілих.
• http://work.ho.ua - інфекція була виявлена 10.01.2011. Зараз сайт не входить до переліку підозрілих.

Враховуючи накопичену мною за 2006-2010 роки інформацію про хакерську активність в Уанеті, я вирішив навести підсумкову інформацію про взломані gov.ua сайти. Наведу порівняльну статистику взломів державних сайтів України за останні роки.

Статистика буде за 2006 - 2010 роки. За останні п’ять років всього було атаковано 126 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких, за час моїх досліджень інфікованих сайтів, було виявлено в 2009 році 5 сайтів та в 2010 році 13 сайтів.

За весь 2006 рік в Уанеті було атаковано 23 веб сайти.

За весь 2007 рік в Уанеті було атаковано 13 веб сайтів.

За весь 2008 рік в Уанеті було атаковано 18 веб сайтів.

За весь 2009 рік в Уанеті було атаковано 24 веб сайти.

За весь 2010 рік в Уанеті була атаковано 48 веб сайтів.

Динаміка взломів державних сайтів в Уанеті.

В 2007 році активність спала на 43% порівняно з 2006 роком (спад в 1,77 рази).

В 2008 році активність зросла на 38% порівняно з 2007 роком (зростання в 1,38 рази).

В 2009 році активність зросла на 33% порівняно з 2008 роком (зростання в 1,33 рази).

В 2010 році активність зросла на 100% порівняно з 2009 роком (зростання в 2 рази).

Як видно зі статистики, кількість атак на державні сайти України в останні роки стабільно зростає.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://youtop.biz (хакером iskorpitx) - 04.03.2011, зараз сайт вже виправлений адмінами
• http://medea.com.ua (хакерами з RBH-Crew) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://poport.net (хакерами з RBH-Crew)
• http://oda-service.com.ua (хакерами з RBH-Crew) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://blowrate.com (хакерами з RBH-Crew)

Минулої осені, 30.10.2010 та в деякі інші дні, відбувся масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Besthosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Garant-Park-Telecom.

Всього було взломано 772 сайти на сервері Besthosting (IP 195.248.234.31). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.difku.gov.ua.

Зазначені сайти були взломані 30 жовтня 2010 року та в деякі інші дні. Дефейси 771 сайту проведено хакерами з 1923Turk і 1 сайту хакерами з -wht-.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://bestofnet.com.ua - інфекція була виявлена 21.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://facebooklogin.io.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://mixon.ua - інфекція була виявлена 11.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://dominanta-center.com.ua - інфекція була виявлена 26.02.2011. Зараз сайт входить до переліку підозрілих.
• http://radiorocks.kiev.ua - інфекція була виявлена 20.03.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти facebooklogin.io.ua та radiorocks.kiev.ua також хостить в себе Укртелеком.