Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://vip-love.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://bronedvery.com.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://viptourism.org.ua - інфекція була виявлена 17.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://stroydetal.crimea.ua - інфекція була виявлена 28.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://concol.com.ua - інфекція була виявлена 20.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Вчора на Data Security Podcast був оприлюднений подкаст, в якому зокрема розміщене ексклюзивне інтерв’ю зі мною. Інтерв’ю було присвячене моєму останньому дослідженню XSS уразливостей в 8 мільйонах флеш файлах.

Так, що всі бажаючі можуть скачати собі та послухати даний подскаст .

Data Security Podcast Episode 87

В даному подкасті розповідається:

• Про нову уразливість в веб серверах.
• Експлюзивне інтерв’ю зі мною на тему уразливостей в мільйонах flash файлах.
• Останні секюріті новини за минулий тиждень.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://newsforex.org.ua - інфекція була виявлена 30.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://univ.kiev.ua - інфекція була виявлена 25.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 17 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://microcredit.com.ua - інфекція була виявлена 20.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 58 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://annual-clan.org.ua - інфекція була виявлена 02.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://playground.org.ua - інфекція була виявлена 12.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://liqpay.com (невідомими хакерами) - 21.12.2009 - DDoS атака на сайт системи LiqPAY
• http://www.sana-centr.info (хакером Black^Monster)
• http://www.4ertim.com (хакером FormatXformat)
• http://www.artan.kiev.ua (хакером SALDIRAY) - 17.12.2009, зараз сайт вже виправлений адмінами
• http://www.ukra.biz (хакером SALDIRAY) - 14.12.2009, зараз сайт закритий адмінами (знаходиться в розробці)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://ce.lviv.ua - інфекція була виявлена 22.11.2009. Зараз сайт не входить до переліку підозрілих.
• http://uhf.com.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vip-com.lviv.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://zalik.org.ua - інфекція була виявлена 04.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://newsukraine.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 54 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що я вже писав про уразливість на newsukraine.com.ua. І власникам цього сайта (як і власникам всіх інфікованих сайтів, про які я писав) варто було краще слідкувати за безпекою. Тоді б подібного з ними не трапилося.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. Якщо минулого разу я навів приклади інфікованих як звичайних сайтів, так і gov-сайтів в Уанеті, то цього разу наведу приклади лише інфікованих недержавних сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://fsetyt.org.ua - інфекція була виявлена 21.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://donnatravel.kiev.ua - інфекція була виявлена 14.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pp.ua - інфекція була виявлена 06.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://energodar.zp.ua - інфекція була виявлена 03.10.2009. Зараз сайт не входить до переліку підозрілих.
• http://mobile.lviv.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

В своїй статті Використання Safe Browsing від Google я розповідав про розроблену мною методику пошуку інфікованих сайтів (які були взломані і на них були розміщені шкідливі коди, або адміни цих сайтів самі розмістили шкідливі коди). Дана методика дозволяє знайти сайти, що були інфіковані на протязі останніх 90 днів.

Наведу вам приклади інфікованих українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://sputnikovoe-tv.com.ua - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://seho.org.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://cifraweek.com.ua - інфекція була виявлена 01.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://franko.lviv.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ivax.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно власники сайтів зовсім не слідкують за їх безпекою. Що призводить до розміщення на них вірусів і про подібні випадки я вже неодноразово писав.

А ось п’ятірка інфікованих gov-сайтів в Уанеті:

• http://man.gov.ua - інфекція була виявлена 17.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://kyivobljust.gov.ua - інфекція була виявлена 14.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dpa-zp.gov.ua - інфекція була виявлена 23.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://lisproekt.gov.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpi.gov.ua - інфекція була виявлена 15.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно адміністратори державних сайтів також зовсім не слідкують за їх безпекою. Як цього не роблять і СБУ та ДСТСЗІ.

Коли я виявив можливість використання Safe Browsing від Google для перевірки сайтів на інфікованість, першим ділом я провів діагностику декількох популярних веб сайтів. І я отримав доволі цікаві результати .

Серед найперших перевірених мною сайтів були google.com, yahoo.com та blogspot.com, які виявилися інфікованими (за останні 90 днів). Те, що blogspot.com (це один з доменів сервіса Гугла Blogger) виявився інфікованим, це мене не здивувало, бо я ще торік писав про те, що даний ресурс Google використовується для розповсюдження шкідливих кодів (по даним Sophos), а ось те, що сам google.com був інфікований, а також yahoo.com, це вже новина.

Діагностична сторінка Google Safe Browsing для google.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 разів протягом останніх 90 днів.

А також:

З 70146 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 4 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-16.

Malicious software includes 7 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 14 доменах, що 7 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт google.com був посередником зараження 10 сайтів, включаючи apostei.net/, www.jazaan.com.googlepages.com/, debsh2.mihanblog.com/.

Так що сайт Гугла був нещодавно інфікований (16.12.2009). Після чого він був очищений від інфекції, але факт залишається фактом.

Таким чином Information Leakage в даному сервісі Гугла призвела до витоку інформації про зараженність власного сайта. Це такий гумор у Гугла - оприлюднювати інформацію про інфікованість власних сайтів . З іншої сторони - це добре, що Гугл чесно це визнав.

Діагностична сторінка Google Safe Browsing для yahoo.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 разів протягом останніх 90 днів.

А також:

З 17710 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 15 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-13.

Malicious software includes 113 scripting exploit(s), 58 trojan(s), 8 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 25 доменах, що 13 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта.

Як видно, Yahoo пішов по стопам Гугла.

Діагностична сторінка Google Safe Browsing для blogspot.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 462 разів протягом останніх 90 днів.

А також:

З 2112321 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 19127 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-19.

Malicious software includes 21423 worm(s), 11635 trojan(s), 3186 scripting exploit(s). Successful infection resulted in an average of 16 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 3825 доменах, що 1592 домена є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт blogspot.com був посередником зараження 23 сайтів, включаючи euroddl.com/, alfawarez.com/, ddlspot.com/.

А також:

Так, цей сайт поширював зловмисне програмне забезпечення протягом останніх 90 днів. Він заразив 9 домен(-ів), включаючи tisuituputih.blogspot.com/, enfermagemsu.blogspot.com/, elltoro.com/.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.pv.poltava.ua (хакером Cyb3rking) - 08.12.2009, зараз сайт вже виправлений адмінами
• http://baterfly.triadas.com.ua (хакером SALDIRAY) - 16.12.2009, зараз сайт вже виправлений адмінами
• http://www.websites.od.ua (хакером SALDIRAY) - 12.12.2009, зараз сайт не працює (немає його контенту)
• http://wolf-clan.com (хакерами з kasper security-Team) - причому спочатку сайт був взломаний 01.12.2009 kasper security-Team, а 12.12.2009 взломаний Mafia Egypt. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ucheba.in.ua (хакером SALDIRAY) - 09.12.2009, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums та Google Analytics. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Google Analytics - це плагін для інтергації з системою Google Analytics.

• Численні уразливості в WordPress DM Albums Plugin (деталі)
• Google Analytics plugin for Wordpress - XSS Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.