Websecurity - Веб безпека

В цьому місяці, 05.03.2011, відбувся масовий взлом сайтів на сервері Realon Service. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Realon Service. Взлом відбувся після згаданого масового взлому сайтів на сервері Faust.

Всього було взломано 173 сайти на сервері Realon Service (IP 194.54.81.150). Це наступні сайти: dotar.kr.ua, alau.com.ua, alma-taro.ru, andysoftware.ru, asoftware.org.ua, avantes.net, badapps.ru, akwatoria.com, aloha.kiev.ua, 2236161.kiev.ua, art-web.net.ua, 24diplom.com, agrobudtrade.com.ua, amwaymagazin.com.ua, avto-remont.org.ua, buller.kiev.ua, board.canis-club.org, baratameds.com, book-auto.com, boombaster.com, bmfiles.com, canis-club.org, civilcepro.gov.ua, cleverrhythms.kiev.ua, cinemax5d.com, china-on-sale.com, confiskat.in.ua, coalition.mk.ua, dimicandum.com.ua, delice.mk.ua, divainternational.ch, dashaakulova.com, comfortline.kiev.ua, dokumentik.com, diplomrf.com, dives-group.ru, edu-ukraine.com, drugpreguntas.com, el-help.info, elitediscount.net, enoflex.com, este-line.com.ua, familycounseling-odessa.org, fcpolyana.com, eurostyle.net.ua, fci-tech.com, eyvazov-md.com, garant-realty.com.ua, fordodessa.com, evfreesm.com, findbransonperry.com, estet-taxi.com, gek.od.ua, gardpro.com.ua, feyeriya.com, galocamera.co.ua, garmin.mk.ua, ingi.com.ua, hostingmaks.mk.ua, gilles.in, ifnmu.com.ua, interstroy.com.ua, interglobus.com.ua, iqtravel.com.ua, ivestland.ru, imvest.com.ua, kawa4ay.com.ua, kind-heart.info, jdissa.com, karamelka.com.ua, jeans-optom.com.ua, klondaik-engineering.com, izmailtv.com, korea-san.com.ua, knauf.ivestland.ru, kupalnik.mk.ua, kvartiravip.net.ua, l-tour.dn.ua, kulkoff.com, lasante.od.ua, lcc-izmail.org, mamasale.com.ua, liya.net.ua, lider-mebeli.com, mgroup.org.ua, melarhim.com, mir-remonta.kiev.ua, mlm4you.ru, lipowl.com, mlmcompany.ru, mobilife.com.ua, mobilacs.org.ua, moybb.com.ua, my4erdak.com, newfxgames.com, munten.ru, oemoil.net, na2se4ka.com, nikomramor.com, ochakovsea.kiev.ua, oknaport.com, mylifestyle.com.ua, nikofilm.com.ua, one-shot.com.ua, pellets.mk.ua, perlyna.lviv.ua, oniks-pf.com.ua, panacey.com.ua, ortolutsk.com, pellets.biz.ua, otsyideti.org, partner-business.com.ua, predictions-fate.com, polelya.com.ua, prolisok.kiev.ua, pri4al.com, saltroom.com.ua, satava-trans.com.ua, romashka.mk.ua, vanilla-man.com, soblazn.od.ua, shkola-slova.com.ua, thermomix.mk.ua, speleocamera.com.ua, sociolab.net, rmesenv.com, racingstream.net, tkachenkoalex.net, veneda.com.ua, spbdiplom.com, profi-kursi.com, speleocamera.kiev.ua, tneu.com.ua, speleocamera.co.ua, respect.mk.ua, salsa-dance.com.ua, smgzone.com, ruseries.com, science-house.odessa.ua, topseries.net, saltlamp.org.ua, shalemonblan.com.ua, toy-dom.com, scorini.com, shock-anti.com, saki-crimea.com.ua, shop.prodecoupage.com, sticker-online.net, stroyremont.in.ua, tvoymalysh.in.ua, scorini.com.ua, terazoid.com.ua, talk.mk.ua, skazka.mk.ua, sutrakiev.com.ua, prospekt-realty.com, silversphinx.com.ua, tokio.com.ua, promizol.mk.ua, sidecarmx.com.ua, rfdiplom.com, remont-pro.com.ua, rfdocument.com, safedisk.od.ua, sitecheckup.net, radiostanciya.com, weles.com.ua, webomarket.mk.ua, xtremeartclub.net, vetka.com.ua, wellspa.com.ua, weddinggallery.com.ua, wellness-spa.com.ua. Серед них український державний сайт civilcepro.gov.ua.

Всі зазначені сайти були взломані 5 березня 2011 року. Дефейси 173 сайтів проведено хакерами з RBH-Crew.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pfukonotop.hmarka.net (хакером Nothing) - взломаний державний сайт (на безкоштовному хостінгу)
• http://nissi.com.ua (хакером Seif Jelidi)
• http://www.poetryclub.com.ua (хакером Samar Obrin) - 12.03.2011, зараз сайт вже виправлений адмінами
• http://mobile-notes.net (хакерами з RBH-CREW)
• http://timo.kiev.ua (хакерами з Black HaT Group)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://strongsoft.com.ua - інфекція була виявлена 04.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://mylink.com.ua - інфекція була виявлена 01.03.2011. Зараз сайт входить до переліку підозрілих.
• http://zarabotalo.at.ua - інфекція була виявлена 29.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://almandry.com.ua - інфекція була виявлена 04.03.2011. Зараз сайт входить до переліку підозрілих.
• http://areasoft.com.ua - інфекція була виявлена 24.02.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти mylink.com.ua та almandry.com.ua також хостить в себе Укртелеком.

У жовтні місяці відбувся масовий взлом сайтів на сервері Garant-Park-Telecom. Це російський хостер, але багато сайтів з України. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер російської компанії Garant-Park-Telecom. Взлом відбувся після згаданого масового взлому сайтів на сервері Freehost.

Всього було взломано 246 сайтів, з них 218 українських сайтів на сервері Garant-Park-Telecom (IP 89.111.170.128). Це наступні сайти: cayman.raskone.silver.biz.ua, convictus.kiev.ua, convictus.com.ua, chuguy.make.silver.biz.ua, doshkilnyatko.com.ua, elistom.frcbc.silver.biz.ua, carpeta.com.ua, cargogruzcom.leon49.silver.biz.ua, bypillsn.silver.biz.ua, biotech-system.make.silver.biz.ua, bimboka.dp.ua, grafskates.silver.biz.ua, imw.com.ua, duschy.com.ua, cult.sk.silver.biz.ua, green-wheel.com.ua, homeopat.dp.ua, gabro.com.ua, edoctor.com.ua, live.toni.silver.biz.ua, online.roman2.silver.biz.ua, apkservice.com.ua, andariys.monument.com.ua, adv-dva.sk.silver.biz.ua, abdomed.com.ua, acg.com.ua, kamerton.in.ua, 4dkino-com.koreyko.silver.biz.ua, manzuk.silver.biz.ua, lemonchic.com.ua, nika.dn.ua, andriy2.silver.biz.ua, dj.vadimzp2.silver.biz.ua, alexroll.silver.biz.ua, bankomat.convictus.org.ua, baz.kiev.ua, bazoka.silver.biz.ua, newrealtor.contur.net.ua, carpeta.ua, churchan.silver.biz.ua, climate.lviv.ua, contur.org.ua, contur.net.ua, com.victorcg.silver.biz.ua, conturorg.contur.net.ua, convictusnet.convictus.org.ua, convictus.org.ua, dnepr-co-ua.koreyko.silver.biz.ua, digestin.com.ua, dizel.silver.biz.ua, dmitriys.silver.biz.ua, dom.silver.biz.ua, domomania.contur.net.ua, domus.biz.ua, doshkilnyatko.contur.net.ua, dti.com.ua, eflet.silver.biz.ua, edoctor.webvideo.com.ua, eflet2.silver.biz.ua, o-hutorok.lnxd.silver.biz.ua, elistom.com.ua, psytron.com.ua, eugenevi.silver.biz.ua, etalon.uz.ua, eye.poltava.ua, fiat-lux.com.ua, forsale.co.ua, forofis.com.ua, lifeinmo.silver.biz.ua, roman2.silver.biz.ua, forsale.lviv.ua, frcbc.silver.biz.ua, geo-vision.com.ua, gbyte.silver.biz.ua, gindia.silver.biz.ua, gotovimvodu.com.ua, group.irochkon.silver.biz.ua, ibanez.silver.biz.ua, gts.org.ua, imwuser1.lnxd.silver.biz.ua, inlanger2.silver.biz.ua, iyt.com.ua, ivanushk.silver.biz.ua, iyt.yachtcharter.com.ua, sk.silver.biz.ua, sonyashnik.kiev.ua, nazard.silver.biz.ua, statusatm.com.ua, stroy.irochkon.silver.biz.ua, shlyah.contur.net.ua, td-himinvest.com.ua, irochkon.silver.biz.ua, kg-dp-ua.koreyko.silver.biz.ua, konstantin.avsz.silver.biz.ua, koreyko.silver.biz.ua, toni.silver.biz.ua, laminatparket.contur.net.ua, leon49.silver.biz.ua, letmesee.sk.silver.biz.ua, ttholod.com.ua, live.roman2.silver.biz.ua, lnxd.silver.biz.ua, main.victorcg.silver.biz.ua, makintosh.ks.ua, make.silver.biz.ua, maks-tour.com.ua, test1.nika.dn.ua, test.nika.dn.ua, ustav.silver.biz.ua, masterprint.com.ua, teploagent.com.ua, usedboats.com.ua, monument.com.ua, mykolaivka-rada.nika.dn.ua, montessori.org.ua, nacional.contur.net.ua, net.victorcg.silver.biz.ua, newboats.com.ua, newboats.yachtcharter.com.ua, newborn.silver.biz.ua, newrealtor.com.ua, vika.vadimzp2.silver.biz.ua, npoenergy.com.ua, olside.silver.biz.ua, orfey.acg.com.ua, orfey.com.ua, yachtmarina.yachtcharter.com.ua, parketmaster.com.ua, ozerniyhutorok.lnxd.silver.biz.ua, patmari.odessa.ua, pelmen.silver.biz.ua, pavlo.com.ua, pavlo.webvideo.com.ua, plantro.com.ua, polorsade.raskone.silver.biz.ua, prestige-life.com.ua, privatblog.vadimzp2.silver.biz.ua, pumping.com.ua, raskoua.raskone.silver.biz.ua, rasko.ua, raskone.silver.biz.ua, reebok.silver.biz.ua, resume.co.ua, retriver.net.ua, review.vadimzp2.silver.biz.ua, retion.silver.biz.ua, robingood.contur.net.ua, robingood.com.ua, rudi.dizel.silver.biz.ua, snooker.in.ua, snooker.contur.net.ua, startinukraine.webvideo.com.ua, stas.standov.silver.biz.ua, artfresh.silver.biz.ua, standov.silver.biz.ua, suvenirtr.silver.biz.ua, sunnyart.make.silver.biz.ua, ticketcom.acg.com.ua, tofs.roman2.silver.biz.ua, asu.silver.biz.ua, ukrfer.silver.biz.ua, unberto2.silver.biz.ua, usedboats.yachtcharter.com.ua, vadimzp.silver.biz.ua, vadimzp2.silver.biz.ua, venol-oil.silver.biz.ua, venol.com.ua, victorcg.silver.biz.ua, vitakor.silver.biz.ua, vitohaus.silver.biz.ua, august.silver.biz.ua, art-rcom.contur.net.ua, www1.elistom.com.ua, yachtmarina.com.ua, yachtcharter.com.ua, zdorovka.lnxd.silver.biz.ua, zoj.com.ua, avtoguru.contur.net.ua, artgallery.contur.net.ua, ask-complex.ask-complex.com.ua, arm-dp-ua.koreyko.silver.biz.ua, aquaritm.koreyko.silver.biz.ua, ask-complex.kiev.ua, audioline.com.ua, aviasvit.olside.silver.biz.ua, avsz.silver.biz.ua, avsn.avsz.silver.biz.ua, artland4you.videoxxi.silver.biz.ua, apkservicecomua.lnxd.silver.biz.ua, avtey.com.ua, www-promin-info.make.silver.biz.ua, garden-ua.com, skulptura-granit-mramor.monument.com.ua, art-r.com.ua, sculpture-granit-mramor.monument.com.ua, aspi.in.ua, pottery-park.koreyko.silver.biz.ua, artgallery.in.ua, provodov-net-ua.koreyko.silver.biz.ua, ask-complex.com.ua, nord-1-dp-ua.koreyko.silver.biz.ua, yonex.com.ua, fast-start-crimea-ua.make.silver.biz.ua, suvenir.com.ua, cinematix4d-com.koreyko.silver.biz.ua, turboam.com.ua, cinematix-org.koreyko.silver.silver.biz.ua, tess.in.ua, tess.contur.net.ua, alant-biz-ua.koreyko.silver.biz.ua, akalaboratory-dp-ua.koreyko.silver.biz.ua, synergos.com.ua, alina-karina-com.koreyko.silver.biz.ua, sgifts.com.ua, master-biz-ua.koreyko.silver.biz.ua, silver.biz.ua, foreign-realestate.koreyko.silver.biz.ua, www.slavuta-mvk.gov.ua. Серед них український державний сайт www.slavuta-mvk.gov.ua (дуже дивно бачити gov.ua сайт, що хоститься в іншій державі - всі державні сайти повинні хоститися у власній державі).

Всі сайти були взломані 12 жовтня 2010 року. Дефейси 217 (245) сайтів проведено хакером GHoST61 і 1 сайта хакером з By_aGReSiF.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.balkanfest.com (хакером Mjdy ArAr)
• http://vial.kiev.ua (хакером HeDi MlikA)
• http://www.luxuryhouse.com.ua (хакером M4L3T) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://bridge-school.com.ua (хакерами з RBH-CREW) - 28.02.2011, зараз сайт вже виправлений адмінами
• http://www.be-be.com.ua (хакерами з TURKSTARZ)

У вересні місяці відбувся масовий взлом сайтів на сервері Freehost. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Freehost. Взлом відбувся перед згаданим масовим взломом сайтів на сервері Inter-Telecom. Окрім основного (масового) взлому, були ще декілька невеликих взломів сайтів на даному сервері до і після цього інцеденту.

Всього в 2010-2011 роках було взломано 78 сайтів на сервері Freehost (IP 194.0.200.30). Це наступні сайти: www.your-brand.kiev.ua, general-brend.com.ua, www.efremov.kiev.ua, www.bibliotekaoz.com, www.report.if.ua, bilders.com.ua, masterknig.com.ua, masterknyg.com.ua, rotor-dv.com.ua, lawbrothers.com.ua, www.elitmoda.com.ua, www.podobovo.biz, www.caritas.if.ua, www.teksa.com.ua, drupal.ukrface.org.ua, www.studweek.org, www.styknews.info, www.ukrface.org.ua, www.vatikan.com.ua, www.studiya-igr.com.ua, www.relife.com.ua, www.sundara.com.ua, catalog.erkc.com.ua, jobs.alfa-personal.com.ua, www.alfa-dom.com.ua, www.alfa-personal.com.ua, www.erkc.com.ua, www.femida-online.com.ua, www.alliance-chemistry.com.ua, www.artmedia.dp.ua, www.colorart.com.ua, www.fabrika.gov.ua, www.filatovich.com, www.fit4you.dp.ua, www.gods.in.ua, www.hlpu.in.ua, www.nfuk.org.ua, www.novahvilya.org.ua, www.sharu.in.ua, www.inazuma.dn.ua, www.intermarr.com.ua, www.klimova.com.ua, littlestar.com.ua, www.master.ks.ua, www.mebel-megalux.com.ua, www.migexpo.kiev.ua, www.mykhail-krugliak.org.ua, www.naytov.net, www.nvcompany.com.ua, www.palladium.in.ua, www.goldenkey.com.ua, www.permyakov.info, www.lc-femida.com.ua, www.bomond-club.com.ua, www.burbbery.com.ua, www.timeresort.com.ua, www.retriever-db.com.ua, www.rk-ukraina.com, www.honda-shop.net, www.shopsex.in.ua, www.sichstudio.com, www.mebliki.kiev.ua, www.msio.com.ua, beta.bpf-ukraine.com.ua, maegrafik.in.ua, www.business-tour.com.ua, www.business-realt.com.ua, absolute-ukraine.com.ua, athome.in.ua, elegido.in.ua, gcapital.com.ua, lawyer-dan.in.ua, lmg.net.ua, na-5.org.ua, sessia-plus.org.ua, xxicentury-immigration.com, passionstyle.com.ua, www.dpks.dp.ua. Серед них український державний сайт www.fabrika.gov.ua.

Більшість з зазначених сайтів була взломана 07 вересня 2010 року. А також було ще декілька окремих дефейсів (перед і після цього масового взлому проведеного The KabuS): 01.03.2010, 18.05.2010, 16.08.2010, 17.08.2010, 24.08.2010, 24.08.2010, 10.09.2010, 30.09.2010, 17.11.2010 та 27.02.2011. Дефейси 52 сайтів проведено хакером The KabuS, 6 сайтів хакерами з K-N-S, 1 сайта хакером sr1_0d0nk, 17 сайтів хакерами з AHG, 1 сайта хакерами з AH-Crew і 1 сайта хакерами з KTN.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://artsv.kiev.ua - інфекція була виявлена 05.03.2011. Зараз сайт входить до переліку підозрілих.
• http://macro-win.org.ua - інфекція була виявлена 06.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://all4life.pp.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://symbian.at.ua - інфекція була виявлена 13.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://rub.pp.ua - інфекція була виявлена 19.02.2011. Зараз сайт не входить до переліку підозрілих.

Сайт artsv.kiev.ua раніше вже був взломаний. А через декілька днів на ньому з’явився шкідливий код (схоже, що це вже після нового взлому).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gaisumy.gov.ua (хакерами з FHS-CREW) - 02.03.2011, взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://pro-fishing.com.ua (хакерами з 1923Turk-Grup) - 26.02.2011, зараз сайт вже виправлений адмінами
• http://tashirpizza.com.ua (хакером SAH4ND) - 20.02.2011, зараз сайт вже виправлений адмінами
• DDoS-атака на http://eizvestia.com (невідомими хакерами) - 24.01.2011
• http://gorbunov.com.ua (хакером ph0unix)

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах домен провайдерів, онлайн магазинів, баннерних систем та електронних платіжних систем (України та США):

• www.imena.ua
• seal.godaddy.com
• banner.b-one.com.ua
• banner.kiev.ua
• easypay.ua

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• e-zarina.com.ua
• www.games4xbox.comua.net
• shop.zdravnik.com.ua
• 15workdaily.com
• danishevskaya.com
• buket.dn.ua
• pfg.com.ua
• www.techno-plus.zp.ua
• shop.impreza.net.ua
• www.sevshop.ru
• www.sev-shop.com.ua

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• bizneswm.com
• allit.dp.ua
• novinka.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

Учора відбувся масовий взлом сайтів на сервері Faust. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Faust. Взлом відбувся після згаданого масового взлому сайтів на сервері Hvosting.

Всього було взломано 60 сайтів на сервері Faust (IP 195.68.203.245). Це наступні сайти: stc.kiev.ua, activtrade.com.ua, aeg.kiev.ua, agrogest.com.ua, alkor.org.ua, alum.org.ua, amistad.com.ua, ariy.com.ua, artdecor-pro.com.ua, artsv.com.ua, artsv.kiev.ua, avesta.org.ua, best-photovideo.com.ua, bestmedia.kiev.ua, blaucraft.kiev.ua, coe.kiev.ua, colorlumen.com.ua, csdi.kiev.ua, dnsgb.kiev.ua, doctorignatyev.com, expert-ltd.org, fa.kiev.ua, gardiny.kiev.ua, goloseevo.kiev.ua, granduspeh.com.ua, grantes.com.ua, indystria.com.ua, intex.net.ua, itf-taekwondo.org.ua, kaskad.kiev.ua, kolight.org.ua, korneichuk.kiev.ua, kvinta.com.ua, lupus.kiev.ua, mairis.com, map.faust.net.ua, meblis.kiev.ua, medbud.kiev.ua, meddim.com.ua, meregi.kiev.ua, natasha.kiev.ua, oko.org.ua, ortomedina.com.ua, osc-distributor.com.ua, pak.kiev.ua, pak.net.ua, pronetukr.kiev.ua, qualita-mn.com.ua, radiodim.kiev.ua, rm-optica.com, revopravo.kiev.ua, scwm.gov.ua, titools.com.ua, troeschina.kiev.ua, u2.faust.kiev.ua, ukraine-international.kiev.ua, ucrania-espana.com, v1.faust.net.ua, ukrpromgroup.com.ua, ukrpromgroup.kiev.ua. Серед них українські державні сайти: dnsgb.kiev.ua і scwm.gov.ua.

Всі зазначені сайти були взломані 1 березня 2011 року. Дефейси 59 сайтів проведено хакером KriptekS і 1 сайта хакером iskorpitx. А також раніше було ще два дефейси на даному сервері - 24.04.2010 взломаний сайт 220v.net.ua та 08.07.2008 сайт scwm.gov.ua.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.