Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 18.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://antiplayground.at.ua - інфекція була виявлена 03.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://terrawoman.ua (а також http://terrawoman.com і http://terrawoman.com.ua, що є різними доменами одного сайта) - інфекція була виявлена 09.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://business-invest.lviv.ua - інфекція була виявлена 10.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://virion.com.ua - інфекція була виявлена 01.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17 та 18.

Ось нова добірка уразливих секюріті сайтів:

• www.opennet.ru
• shalb.com
• www.entel.kiev.ua

Всім security проектам та компаніям слід приділяти більше уваги безпеці власних веб сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pidgulko.com.ua (хакером KonyaR-Lee)
• http://sptoohrana.com.ua (хакерами з AHG) - це секюріті сайт
• http://pntb.tv (хакером Corti) - 08.09.2010, зараз сайт вже виправлений адмінами
• http://www.virma.com.ua (хакерами з Anarchy Cr3w) - 22.08.2010, зараз сайт вже виправлений адмінами
• http://kovel.in.ua (хакером baDsectQr) - 22.08.2010, зараз сайт вже виправлений адмінами

Стосовно інциденту, що стався на моєму сайті 08.09.2010. Тоді невідомий зловмисник видалив всі файли в мене на сайті та розмістив на головній сторінці некультурні висловлювання на мою адресу . Схоже, що він потратив чимало часу, щоб після того як він не знайшов дірок в мене сайті, знайти якийсь дірявий веб додаток на іншому сайті на даному сервері.

Проведене мною в середу, 08.09.2010, дослідження показало, що мій сайт припинив нормальну роботу в 06:28:37. Після виявлення мною цієї ситуації на сайті, я зв’язався з хостером і мій сайт був швидко відновлений з бекапу (благо не сервері робляться щоденні бекапи). При цьому після детального дослідження логу жодних слідів зловмисника не було виявлено - лише сотні спроб атакувати мій сайт, що я виявляю щоденно. Тобто атака мала місце не на мій сайт, а на інший сайт на цьому самому сервері, через який нападник витер файли на моєму сайті. Одразу коли я виявив цей інцидент я вирішив, що атака мала місце через інший сайт на сервері, й мої дослідження логів це лише підтвердили.

Тому я попросив свого хостера (а я розміщую сайт на сервері SHALB), дослідити логи інших сайтів, що розміщені на даному сервері, щоб виявити нападника. І лише сьогодні я отримав офіційну відповідь від хостера. Вони на протязі багатьох днів аналізували логи і виявили наступне. Що нападник атакував phpMyAdmin, що був розміщений на одному з сайтів SHALB, і він отримав доступ до адмінки даного веб додатку. І з phpMyAdmin ймовірно він дістався до файлової системи сервера і таким чином він дістався до мого сайта.

Даний дірявий додаток був прибраний хостером з сервера. Тому, як вони запевняють, таких інцидентів більше бути не повинно. Так що всі бажаючі взломати мій сайт, як і завжди, можуть сміливо йти на всі чотири сторони .

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://titan.lviv.ua - інфекція була виявлена 09.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dn.kiev.ua - інфекція була виявлена 27.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://kickboxing.com.ua - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mymultimedia.org.ua - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://notebookmaster.com.ua - інфекція була виявлена 02.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що сайт dn.kiev.ua вже був інфікований в 2008 році. І в цьому році він знову розповсюджує віруси.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.arlekino.com.ua (хакерами з AHG) - 04.09.2010, зараз сайт вже виправлений адмінами
• http://www.atlant-s.com.ua (хакером M3rtC4n)
• http://lacoste-house.org.ua (хакерами з 1923TURK) - причому спочатку сайт був взломаний 22.08.2010 1923TURK, потім 31.08.2010 він був взломаний NUzzY, потім 04.09.2010 був взломаний CREUSE та alm0st7el, а зараз взломаний Dz$N!P3R. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dks.com.ua (хакером METRP0L) - 09.2010, зараз сайт вже виправлений адмінами
• http://fourlanguagestranslations.com (хакером MouDy-Dz) - 26.08.2010, зараз сайт не працює

Свої логи я регулярно досліджую і виявляю атаки (сотні атак щодня), які відбуваються на мій сайт. І з моменту запуску мого сайта в липні 2006 року, кількість щоденних атак постійно зростає. Зокрема відбуваються і RFI атаки. Хоча в мене на сайті немає і ніколи не було RFI дір , але такі атаки щоденно відбуваються.

За звичай для RFI атак (на PHP-додатки) використовуються скрипти, що розміщенні на інших сайтах. І це похакані сайти, які використовуються для атак на інші сайти (в тому числі й на мій). Нападники їх використовують для того, щоб не світити власними сайтами - вони взламують одні сайти, розміщують на них скрипти, а потім атакують інші сайти з використанням цих скриптів.

І в мене в логах таких похаканих сайтів увесь час є чимало. В основному це іноземні сайти, але сьогодні, досліджуючи логи, я виявив і українські сайти. Тому я вирішив почати використовувати свої логи як джерело похаканих сайтів в Уанеті . На додачу до інших джерел, що я використовую для дослідження безпеки Уанету, зокрема до розробленої мною в 2008 році методики пошуку похаканих сайтів.

Похакані сайти в Уанеті:

• http://injek.at.ua (хакером Casper_Kae) - 10.08.2010
• http://www.stomatformula.com.ua (хакером FeeLCoMz) - 04.09.2010

Файли, що використовуються для RFI атак:

http://injek.at.ua/e107id1.txt
http://www.stomatformula.com.ua/includes/domit/a

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://beesoft.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://skachat-besplatno.com.ua - інфекція була виявлена 14.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://goodgirlsbadguys.com - інфекція була виявлена 05.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://minus-mp3.ucoz.ua - інфекція була виявлена 28.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://grandlog.com.ua - інфекція була виявлена 06.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт skachat-besplatno.com.ua також хостить в себе Укртелеком.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Після попередніх записів на тему DNS Rebinding (також відомого як Anti-DNS Pinning), пропоную вам нові записі на дану тему.

В своєму записі Sample DNS Rebinding Code, RSnake розповідає про приклад коду для проведення DNS Rebinding атак, що він розробив (щоб надати людям можливість проводити дані дослідження).

В своєму записі Session Fixation Via DNS Rebinding, RSnake розповідає про проведення Session Fixation атак з використанням даної техніки атак на браузери.

В своєму записі DNS Rebinding for Credential Brute Force, RSnake розповідає про використання DNS Rebinding для брутфорсу облікових даних користувачів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cs-servera.net (хакером SAms0n) - 28.08.2010, зараз сайт вже виправлений адмінами
• http://valfork.com (хакером CmTr) - 24.08.2010, зараз сайт не працює (закритий адмінами)
• http://firstline.com.ua (хакером TekZ)
• http://shela.org.ua (хакером Delp0rt3) - 20.08.2010, зараз сайт не працює
• http://muza.lg.ua (хакерами з AHG)